记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

滥用NPM库实现敏感数据提取

前言 程序包和依赖项管理器(如npm)在构建过程中允许执行命令,命令执行为开发人员在构建过程执行脚本任务提供了一个简单方便的机制。  例如,npm允许开发人员使用预安装和后安装钩子来执行任务。在开始构建之前,可以使用预安装钩子来编译一些独立的本地库。后安装钩子用于构建之后的清理。 在这篇文章中演示了攻击者如何使用npm从开发人员的机器中提取信息。虽然只是展示了npm的攻击场景,但类似的攻击也可以在其他软件包管理器上完成,比如gradle。 攻击 为了验证数据泄露的可行性,我们描述了以下三种不同的情况。 对于每个情况,攻击者只需要获取发布的npm包,并说服一些开发人员使用npm install安装它。 我们首先创建一个npm包,并使用package.json文件中的后安装钩子指定要执行的任务。该任务可以是shel
发布时间:2016-11-14 04:20 | 阅读:98163 | 评论:0 | 标签:网络安全 敏感信息泄露 本地权限提升 滥用NPM库 环境变量 软件包管理器 钩子

Ubuntu曝本地权限提升漏洞,影响12.04 – 14.10版本(含EXP)

Ubuntu曝出本地权限提升漏洞,该漏洞由Google的大神Tavis Ormandy发出,包含漏洞利用测试程序。 影响范围 Ubuntu Precise (12.04LTS) <= usb-creator: 0.2.38.3ubuntu (Patched in: 0.2.38.3ubuntu0.1) Ubuntu Trusty (14.04LTS) <= usb-creator 0.2.56.3ubuntu (Patched in: 0.2.56.3ubuntu0.1) Ubuntu Utopic (14.10) <= usb-creator 0.2.62ubuntu0.2 (Patched in: 0.2.62ubuntu0.3) 漏洞测试EXP $ cat > test.c vo
发布时间:2015-04-25 16:00 | 阅读:80104 | 评论:0 | 标签:0day/Exp Ubuntu 本地权限提升 exp 漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云