react | CN-SEC 中文网

供应链安全

NPM软件供应链攻击传播恶意软件

聚焦源代码安全，网罗国内外最新资讯！专栏·供应链安全数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性...

06月10日21 views评论

阅读全文

供应链安全

新型供应链恶意软件攻击npm和PyPI生态系统，百万用户面临风险

近日，网络安全研究人员发现了一起供应链攻击，该攻击极具针对性的向与GlueStack相关的十多个软件包植入恶意软件。安全公司Aikido Security向The Hacker News透露，恶意软件...

06月09日27 views评论

阅读全文

安全新闻

恶意npm与VS Code包正在窃取数据及加密货币资产

Part0160个npm包窃取系统敏感信息安全研究人员在npm软件包注册表中发现60个恶意组件，这些组件能够收集主机名、IP地址、DNS服务器和用户目录信息，并将其发送至Discord平台控制的终端节...

05月28日54 views评论

阅读全文

安全开发

API接口深度发现的动态爬虫实现(3. Web框架识别和移除鉴权)

现代Web应用中，SPA（Single Page Application）占比非常高。它接口丰富，容易发现漏洞，应该被优先关注和重点测试。笔者认为漏扫动态爬虫有必要精准识别站点采用的Web框架，好处有...

05月07日14 views评论

阅读全文

安全文章

动态爬虫实战：从框架识别到鉴权突破的渗透技巧

一、渗透测试的困境：当登录页成为拦路虎在一次针对某金融科技公司的安全测试中，我遇到了典型的单页应用（SPA）场景：打开首页是简洁的登录界面，输入框下方闪烁着"请登录后访问"的提示。尝试...

05月07日14 views评论

阅读全文

安全漏洞

【成功复现】Next.js中间件认证绕过漏洞(CVE-2025-29927)

网安引领时代，弥天点亮未来 0x00写在前面本次测试仅供学习使用，如若非法他用，与平台和本文作者无关，需自行负责！0x01漏洞介绍Next.js是Vercel开源的一个 React 框架...

05月06日37 views评论

阅读全文

安全新闻

伊朗击退大规模网络攻击

Akira 勒索软件攻击后，日立 Vantara 关闭服务器日本跨国集团日立公司的子公司 Hitachi Vantara 上周末被迫关闭服务器，以控制 Akira 勒索软件的攻击。来源: Bleepi...

04月29日33 views评论

阅读全文

安全漏洞

Vite 任意文件读取系列漏洞(附POC)

Vite是什么，和Next.js有什么区别？上一篇文章刚介绍了Next.js漏洞的复现：【漏洞复现】Next.js中间件权限绕过漏洞 CVE-2025-29927Vite 和 Next.js 是两个不...

04月13日44 views评论

阅读全文

安全漏洞

Next.js 中间件鉴权绕过漏洞(CVE-2025-29927)

Next.js是一个使用React构建单页应用程序（SPA）的开源JavaScript框架。它使得构建服务端渲染（SSR）和静态网站生成（SSG）的React应用程序变得简单和高效。Next.js...

03月31日19 views评论

阅读全文

安全文章

利用CSP防御存储型XSS

背景：前段时间在公司前端安全培训时，了解了一下CSP协议，当时在网上找了很多国内文章都只是介绍如何去用官方文档的配置，没有解释或者场景告诉大家如何使用，非常抽象。刚好最近在做内部安全平台的前后端开发，...

03月26日20 views评论

阅读全文

安全新闻

Next.js 严重漏洞：攻击者可绕过中间件授权检查

Next.js React 框架近日披露了一个严重的安全漏洞，攻击者可利用该漏洞绕过授权检查，未经授权访问仅限管理员或其他高权限用户访问的敏感网页。该漏洞被标记为 CVE-2025-29927，其 C...

03月25日10 views评论

阅读全文

安全新闻

速修复Next.js中严重的授权绕过漏洞

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士热门的 React 框架 Next.js 能帮助开发人员更快更有效地构建全栈 web 应用，广泛用于大量企业，其中不乏一些全球最大的企业，因其“可通过...

03月24日28 views评论

阅读全文

NPM软件供应链攻击传播恶意软件

新型供应链恶意软件攻击npm和PyPI生态系统，百万用户面临风险

恶意npm与VS Code包正在窃取数据及加密货币资产

API接口深度发现的动态爬虫实现(3. Web框架识别和移除鉴权)

动态爬虫实战：从框架识别到鉴权突破的渗透技巧

【成功复现】Next.js中间件认证绕过漏洞(CVE-2025-29927)

伊朗击退大规模网络攻击

Vite 任意文件读取系列漏洞(附POC)

Next.js 中间件鉴权绕过漏洞(CVE-2025-29927)

利用CSP防御存储型XSS

Next.js 严重漏洞：攻击者可绕过中间件授权检查

速修复Next.js中严重的授权绕过漏洞

在线咨询

微信