nodejs - 第 8 | CN-SEC 中文网

安全新闻

用于Node.js的NPM包隐藏危险的TurkoRat恶意软件

在 npm 包存储库中发现的两个恶意包隐藏了一个名为 TurkoRat 的开源信息窃取恶意软件。这些名为 nodejs-encrypt-agent 和 nodejs-cookie-proxy-agen...

05月21日54 views评论

阅读全文

安全文章

【HTB】breaking grad靶机攻克

前言我这边下载htb靶机代码进行代码审计及靶机攻克过程记录。下载文件信息收集访问网站，查看页面基本信息发现页面有一按钮，点击可跳转本页面。点击按钮后，发送post请求/api/...

05月15日95 views评论

阅读全文

安全工具

DAPP: 自动检测并分析 NodeJS 模块原型漏洞

原文标题：DAPP: automatic detection and analysis of prototype pollution vulnerability in Node.js modules原...

05月04日37 views评论

阅读全文

安全文章

详解Nodejs中命令执行原型链污染等漏洞

Nodejs特例大小写转换函数toUpperCase(): 将小写转换为大写的函数toLowerCase(): 将大写转换为小写的函数注意：前者可以将ı转换为I, 将ſ转为为S后者可以将İ转换为i, ...

05月02日29 views评论

阅读全文

安全闲碎

Stubbifier: 去除动态服务端 JavaScript 应用的膨胀代码

原文标题：Stubbifier: debloating dynamic server-side JavaScript applications原文作者：Alexi Turcotte, Ellen Ar...

04月23日38 views评论

阅读全文

安全漏洞

【已复现】vm2 远程代码执行漏洞安全风险通告

奇安信CERT致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。（注：奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节，订阅方式见文末。）安全通告vm2是在vm的基础上实现的沙箱，...

04月13日167 views评论

阅读全文

安全新闻

Mininode:减少NodeJS程序攻击面

原文标题：Mininode: Reducing the Attack Surface of Node.js Applications原文作者：Igibek Koishybayev, Alexandro...

04月03日42 views评论

阅读全文

安全新闻

以ChatGPT为主题的网络钓鱼攻击劫持Facebook账户分析

概述:ChatGPT模型是自然语言处理领域的一个热门话题,近期,随着ChatGPT出圈,它越来越受到人们的关注和追捧。许多人想要亲身体验ChatGPT所带来的强大功能和优势,这也吸引了一些黑客利用网络...

03月17日90 views评论

阅读全文

安全闲碎

女票查岗记—让渣男无处遁形

本文号召广大女粉丝要求，写一篇关于如何查岗的文章。这里我便轻描淡写，简单说说。之前我们在玩安卓shell时，都是通过msf控制台完成的。通过命令的形式来控制安卓设备。所以女票想查岗需要懂得一定的专业技...

03月13日34 views评论

阅读全文

代码审计

Nodejs原型链污染

什么是原型链污染原型链污染是一种针对JavaScript运行时的注入攻击，通过原型链污染，攻击者可能控制对象的默认值，这允许攻击者村该应用程序的逻辑，还可能到安置拒绝服务狗估计，严重可导致RCEpro...

03月08日66 views评论

阅读全文

【漏洞通告】Node.js权限绕过漏洞（CVE-2023-23918）

一、漏洞概述CVE IDCVE-2023-23918发现时间2023-02-28类型权限绕过等级高危...

03月01日安全漏洞143 views评论

阅读全文

安全漏洞

Node.js 身份认证绕过漏洞(CVE-2023-23918)

漏洞类型：身份认证绕过简要描述 Node.js存在身份认证绕过漏洞，在启用实验权限选项 --experimental-policy的受害者，攻击者可以使用process.mainModule.req...

02月24日202 views评论

阅读全文