react | CN-SEC 中文网

安全开发

API接口深度发现的动态爬虫实现(3. Web框架识别和移除鉴权)

现代Web应用中，SPA（Single Page Application）占比非常高。它接口丰富，容易发现漏洞，应该被优先关注和重点测试。笔者认为漏扫动态爬虫有必要精准识别站点采用的Web框架，好处有...

05月07日8 views评论

阅读全文

安全文章

动态爬虫实战：从框架识别到鉴权突破的渗透技巧

一、渗透测试的困境：当登录页成为拦路虎在一次针对某金融科技公司的安全测试中，我遇到了典型的单页应用（SPA）场景：打开首页是简洁的登录界面，输入框下方闪烁着"请登录后访问"的提示。尝试...

05月07日11 views评论

阅读全文

安全漏洞

【成功复现】Next.js中间件认证绕过漏洞(CVE-2025-29927)

网安引领时代，弥天点亮未来 0x00写在前面本次测试仅供学习使用，如若非法他用，与平台和本文作者无关，需自行负责！0x01漏洞介绍Next.js是Vercel开源的一个 React 框架...

05月06日26 views评论

阅读全文

安全新闻

伊朗击退大规模网络攻击

Akira 勒索软件攻击后，日立 Vantara 关闭服务器日本跨国集团日立公司的子公司 Hitachi Vantara 上周末被迫关闭服务器，以控制 Akira 勒索软件的攻击。来源: Bleepi...

04月29日17 views评论

阅读全文

安全漏洞

Vite 任意文件读取系列漏洞(附POC)

Vite是什么，和Next.js有什么区别？上一篇文章刚介绍了Next.js漏洞的复现：【漏洞复现】Next.js中间件权限绕过漏洞 CVE-2025-29927Vite 和 Next.js 是两个不...

04月13日20 views评论

阅读全文

安全漏洞

Next.js 中间件鉴权绕过漏洞(CVE-2025-29927)

Next.js是一个使用React构建单页应用程序（SPA）的开源JavaScript框架。它使得构建服务端渲染（SSR）和静态网站生成（SSG）的React应用程序变得简单和高效。Next.js...

03月31日4 views评论

阅读全文

安全文章

利用CSP防御存储型XSS

背景：前段时间在公司前端安全培训时，了解了一下CSP协议，当时在网上找了很多国内文章都只是介绍如何去用官方文档的配置，没有解释或者场景告诉大家如何使用，非常抽象。刚好最近在做内部安全平台的前后端开发，...

03月26日8 views评论

阅读全文

安全新闻

Next.js 严重漏洞：攻击者可绕过中间件授权检查

Next.js React 框架近日披露了一个严重的安全漏洞，攻击者可利用该漏洞绕过授权检查，未经授权访问仅限管理员或其他高权限用户访问的敏感网页。该漏洞被标记为 CVE-2025-29927，其 C...

03月25日5 views评论

阅读全文

安全新闻

速修复Next.js中严重的授权绕过漏洞

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士热门的 React 框架 Next.js 能帮助开发人员更快更有效地构建全栈 web 应用，广泛用于大量企业，其中不乏一些全球最大的企业，因其“可通过...

03月24日18 views评论

阅读全文

安全新闻

React框架Next.js存在严重漏洞（CVE-2025-29927）

点击上方蓝字关注我们吧~在 Next.js 中发现了一个严重漏洞，这是一种用于构建 Web 应用程序的流行 React 框架，名称为 CVE-2025-29927。根据 Zeropath 的一份报告，...

03月24日26 views评论

阅读全文

React系列-JSX

1、定义（1）JSX是一种JavaScript的语法扩展，其格式⽐比较像模版语⾔言，但事实上完全是在JavaScript内部实现的。（2）JSX可以很好地描述UI，能够有效提⾼高开发效率，体验JSX ...

02月15日安全文章5 views评论

阅读全文

React系列-react中this指向-事件处理函数与事件对象

事件处理函数绑定DOM事件处理 addEventListener or onclick = function(){} 纯小写React元素也采用了类似DOM0标准中的事件属性定义的方法小驼峰JSX:...

02月15日安全文章8 views评论

阅读全文

API接口深度发现的动态爬虫实现(3. Web框架识别和移除鉴权)

动态爬虫实战：从框架识别到鉴权突破的渗透技巧

【成功复现】Next.js中间件认证绕过漏洞(CVE-2025-29927)

伊朗击退大规模网络攻击

Vite 任意文件读取系列漏洞(附POC)

Next.js 中间件鉴权绕过漏洞(CVE-2025-29927)

利用CSP防御存储型XSS

Next.js 严重漏洞：攻击者可绕过中间件授权检查

速修复Next.js中严重的授权绕过漏洞

React框架Next.js存在严重漏洞（CVE-2025-29927）

React系列-JSX

React系列-react中this指向-事件处理函数与事件对象

在线咨询

微信