记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Facebook Javascript SDK中使用的错误正则表达式会导致包含该正则表达式的网站被帐户收购

收录于话题 点击蓝字 ·  关注我们01背景此错误可能使攻击者可以将包含Facebook Javascript SDK的网站定位为目标。攻击者会诱骗某个网站用户访问其网站,这将利用SDK中使用的实现中的错误来允许包含SDK的网站与Facebook主网站之间的跨域通信。由于各种原因,开发人员广泛使用Facebook JS SDK,例如使用Facebook登录到网站或嵌入“共享”或“赞”插件,这使成千上万的网站容易受到帐户收购等各种攻击。02技术细节Facebook JS SDK可能由于各种原因在网站上实现,例如使用Facebook登录,共享,嵌入。
发布时间:2021-01-14 12:21 | 阅读:4453 | 评论:0 | 标签:java javascript

出道 25 年,JavaScript 是如何翻红的?

收录于话题 作者:Rakia Ben Sassi翻译:实验楼原文链接:https://medium.com/better-programming/javascript-history-and-future-71b0ceb737aa2020 年是 JavaScript 诞生的 25 周年。在此,让我们回顾一下影响该语言历史的一些重要里程碑,并展望一下它未来的发展!1995 年 5 月:出生1995 年 12 月 4 日,网景公司与 Sun Microsystems 合作,公布了一种名为 JavaScript 的新编程语言,用来做专注于 internet 的跨平台开发。
发布时间:2020-12-16 22:30 | 阅读:11460 | 评论:0 | 标签:java javascript

面向DevSecOps的编码安全指南:JavaScript篇

文|martinzhou & l0u1s & monsoonI. 背景近年来,无论是DevSecOps,还是Google SRE的可靠和安全性理念,都提倡“安全需要每个工程师的参与”。其中涉及的“安全左移”理念也再次被推向前台,获得关注。除安全团队建设一系列安全机制和工具外,每位开发者也可以身体力行地参与进来——编写安全的代码,从源头杜绝漏洞。这时,就需要一份详实的参考材料和行动大纲。几位对研发安全感兴趣的一线研究员,首次尝试从开发者视角,分功能、语言梳理了编码的最佳安全实践。包括C++、Go、JavaScript等。TSRC公众号将分语言逐批与业界分享。
发布时间:2020-11-27 19:39 | 阅读:21441 | 评论:0 | 标签:java javascript 安全 DevSecOps

JavaScriptCore内部原理(一):从JS源码到字节码的追踪

一、概述事实证明,在Fuzzing Webkit的过程中,使用Fuzzilli对JavaScriptCore(JSC)进行Fuzzing会非常成功,随着时间的推移,会产生大量崩溃。但是,一旦出现崩溃,由于不熟悉WebKit代码库,同时又缺少代码库相关的查询文档,要验证一处崩溃是否可以被漏洞利用,往往需要花费相当长的时间。正因如此,我们希望通过这一系列文章,深入研究JSC的内部原理,希望能扩展这部分知识。这一系列文章还针对安全研究人员,可以有助于引擎漏洞研究的过程。第一部分主要探讨如何将源代码进行解析,并转换为字节码,同时我们跟踪了整个代码库的过程。
发布时间:2020-11-18 12:19 | 阅读:19650 | 评论:0 | 标签:java javascript 追踪

JavaScript函数式编程,“香”吗?

收录于话题 总说函数是 JavaScript 的一等公民,很多人就问了,它凭什么?其实凭的就是对于 JS 这种没有明确归类的“多范式语言”,函数式编程拥有着天然的优势。在 JS 里,函数本身就被视作对象,可以有属性,能作为参数传给函数,也能作为函数的返回结果,十分便利。而这种特性对于代码日益庞大,业务逻辑逐渐复杂的前端来说称得上是至关重要。只这么说,大家可能还难以理解,那么让我们说的直白点。有一个众所周知,且让每一位开发者都感到不可名状的恐怖的存在,那就是被称作祖传代码的“屎山”。
发布时间:2020-11-04 12:35 | 阅读:13664 | 评论:0 | 标签:java javascript

多款浏览器修复基于JavaScript的地址栏欺骗漏洞

编译:奇安信代码卫士团队Rapid 公司发现Safari 、Opera Mini 和 Yandex 浏览器易受基于 JavaScript 的地址栏欺骗漏洞影响。Rapid 公司和其 “长期移动黑客朋友 Rafay Baloch” 发现该软件可被诱骗展示网站的 URL,同时加载并展示另外一个网站的内容。这种骗术可使偷盗者和欺诈者将银行的在线登录页面替换为旨在收割不知情用户的登录详情。Rapid7 公司的研究员 Tod Beardsley 在博客文章中指出,“由于我们验证手机上数据来源的方法很少,因此地址栏几乎是禁止开发人员(天使和魔鬼般的人)一起使用的唯一一处屏幕房地产。
发布时间:2020-10-26 19:46 | 阅读:23001 | 评论:0 | 标签:漏洞 java javascript

谷歌设立研究基金寻找浏览器 JavaScript 引擎中的错误 | 新闻拍一拍

收录于话题  导读:• Linux 内核 5.10 更新优化 EXT4 文件系统 • 微软将 Edge 开发者工具放入 VS Code本文字数:752,阅读时长大约:1分钟作者:硬核老王谷歌设立研究基金寻找浏览器 JavaScript 引擎中的错误该计划用于支持使用“模糊测试”来识别漏洞。模糊测试技术在大的科技公司内部被广泛使用,但很少被独立安全研究人员使用,因为模糊测试的计算成本很高。这些安全研究人员通常在在公共 bug 赏金平台上提交 bug 几个月后才会得到报酬,而且报酬也不一定能保证覆盖任何初始成本与租用大型云计算资源来执行大规模的模糊操作。
发布时间:2020-10-05 12:28 | 阅读:16991 | 评论:0 | 标签:java javascript

教你学会网易云JS逆向,爬来的歌打包发给女友邮箱可好?

前言:最近点赞了一些文章,觉得有些东西是我还没有接触过的,于是打算复刻一次,但是用我的思路,加上一些新的想法,最后我也是成功实现了这些功能。就和标题一样,这次打算解析一下 网易云 请求的参数,然后把爬来的歌曲编写到前端html代码里面,最后用代码实现QQ邮箱的发送功能,嗯,没错,确实创新了一点,但是在编写代码的框架思路上, 每个人都是有所不同, 找到自己的方法就可以了。
发布时间:2020-09-23 11:13 | 阅读:18030 | 评论:0 | 标签:JavaScript 逆向

流行的node-forge JavaScript库中存在漏洞

流行的node-forge JavaScript库的一个遗留函数中存在一个安全漏洞(CVE-2020-7720),攻击者可利用该漏洞对应用程序执行原型污染攻击。超过350万个存储库使用的node-forge实现了各种加密实用程序,TLS协议和用于开发web应用程序的工具。原型污染是一种严重的漏洞,攻击者可通过在运行时修改应用程序的代码利用该漏洞篡改应用程序的行为。这通常通过恶意输入来执行,取决于脆弱的组件,可导致一系列攻击,包括拒绝服务甚或远程执行代码。该漏洞存在于node-forge中的util.setPath()函数,该函数自该库的早期版本开始,在该库开始注重加密之前,就已存在。
发布时间:2020-09-22 17:52 | 阅读:25923 | 评论:0 | 标签:漏洞 java javascript

下载量超1600万的热门开源 JavaScript 序列化包中被曝 RCE 漏洞

编译:奇安信代码卫士团队最近,热门的开源NPM 包 serialize-javascript 中被指存在一个漏洞,可使攻击者执行远程代码。Serialize-javascript由雅虎开发并维护,是一款颇受欢迎的开源项目,用于将 JavaScript 序列化为 JSON 的超集,包括表达式、日期和函数。5月20 日,Jordan Milne 和 Ryan Siebert 将该漏洞告知 GitHub,后者于上周通过 GitHub Advisory 数据库公布。
发布时间:2020-08-20 20:50 | 阅读:25169 | 评论:0 | 标签:漏洞 java javascript 序列化

99%的网站JavaScript插件面临攻击风险

Tala Security今天发布的一份web安全报告显示,全球Web安全状况急剧恶化,99%的网站JavaScript插件面临攻击风险。该报告跟踪了Alexa前1000名网站的安全状况,发现平均每个网站包含来自32个不同的第三方的JavaScript程序,比2019年略有增加。而诸如Google Analytics(分析)和其他插件之类的第三方程序会将网站暴露于Magecart、formjacking、跨站脚本、信用卡劫持和其他攻击。这类攻击利用了在全球约99%的网站上运行的易受攻击的JavaScript组件。
发布时间:2020-07-15 16:43 | 阅读:30926 | 评论:0 | 标签:行业动态 首页动态 JavaScript插件 WEB安全 java javascript 攻击

关于JavaScript的的高速缓存未命中分析

 在本文中,我们将讨论创建和访问数据的方式可能对应用程序性能的影响。 介绍JavaScript是一种非常高级的语言,在使用JavaScript开发的时候不必对存储器中的数据存储方式作过多的考虑。在本文中,我们将探讨数据如何存储在内存中,以及JavaScript中分发和访问数据的方式将如何影响CPU和内存的性能。
发布时间:2020-06-30 18:25 | 阅读:23706 | 评论:0 | 标签:java javascript

带管理面板的Javascript键盘记录器:Flux-Keylogger

Flux-Keylogger是一个使用php+Javascript编写的键盘记录器,包含一个后端管理页,使用方法和一般的XSS差不多,界面如下:记录的内容KeyloggerCookiesLocationRemot
发布时间:2020-04-22 16:33 | 阅读:40443 | 评论:0 | 标签:java javascript

浅析javascript原型链污染攻击

浅析javascript原型链污染攻击0x0 前言  关于javascript原型链污染攻击的分析文章相对于其他技术文章来说还是偏少的,不知道是不是我打的比赛少还是什么原因,关于这方面的题目也是比较少的,所以该类题目可能出题要求比较高,质量相应比较好。恰巧最近用nodejs在写一个小东西,发现了原来很多依赖库会有各种安全问题,于是打算以原型链攻击为契机学习js下的安全漏洞。0x1 原型与原型链Javascript中一切皆是对象, 其中对象之间是存在共同和差异的,比如对象的最终原型是Object的原型null,函数对象有prototype属性,但是实例对象没有。
发布时间:2020-02-11 10:36 | 阅读:79412 | 评论:0 | 标签:java javascript 攻击

如何安全的运行第三方javascript代码(下)

 (接上文1、2)使用Realms安全地实现API总的来说,我们觉得Realms的沙箱功能还是非常不错的。尽管与JavaScript解释器方法相比,我们要处理更多的细节,但它仍然可以作为白名单而不是黑名单来运作,这使其实现代码更加紧凑,因此也更便于审计。作为另一个加分项,它还是由受人尊敬的Web社区成员所创建的。但是,单靠Realms仍然无法满足我们的要求,因为它只是一个沙箱,插件在其中不能做任何事情。我们仍然需要实现可以供插件使用的API。这些API也必须是安全的,因为大多数插件都需要能够显示一些UI,以及发送网络请求。例如,假设沙箱默认情况下不包含console对象。
发布时间:2019-09-13 13:10 | 阅读:61305 | 评论:0 | 标签:技术 Javascript

如何安全的运行第三方javascript代码(中)

(接上文)在主线程上运行的含义在我们深入进行第二种尝试之前,我们需要先退一步,并重新考察允许插件在主线程上运行到底意味着什么。毕竟,我们一开始并没有考虑它,因为我们知道这可能是危险的。在主线程上运行听起来很像eval(UNSAFE_CODE)方式。在主线程上运行的好处是插件可以:1.直接编辑文档而不是副本,避免加载时间问题。2.可以运行复杂的组件更新和约束逻辑,而无需为代码置办两个副本。3.在需要同步API时,可以使用同步API调用。这样的话,更新的加载或刷新就不会发生混淆。4.以更直观的方式编写代码:插件只是自动执行用户可以使用UI手动执行的操作。
发布时间:2019-09-09 13:10 | 阅读:55020 | 评论:0 | 标签:技术 Javascript

如何安全的运行第三方javascript代码(上)

最近,我们团队完成了Figma的插件API的开发工作,这样第三方开发人员就可以直接在基于浏览器的设计工具中运行代码了。这给第三方开发人员带来便利的同时,也给我们带来了许多严峻的挑战,比如,如何确保插件中运行的代码不会带来安全问题?更头痛的是,我们的软件是建立在非常规的堆栈之上的,因此面临许多工具所没有的约束。我们的设计编辑器是建立在WebGL和WebAssembly的基础之上的,其中一些用户界面是利用Typescript&React来实现的。并且,我们的软件支持多人同时编辑文件。在这个过程中,浏览器技术为我们提供了很大的支持,同时,也带来了许多的限制。
发布时间:2019-09-06 18:10 | 阅读:67957 | 评论:0 | 标签:技术 Javascript

勒索软件——JS邮件恶意脚本分析

阅读: 31在互联网发展越来越壮大的同时,网络安全也面临着各种挑战与机遇。在过去数年,基于脚本的恶意软件的大幅增加让企业、用户等面临着更多勒索软件的威胁。众所周知,勒索病毒等新型恶性病毒,常通过邮件来传播。“邮件欺诈——病毒下载器——恶性病毒”是目前最常见的传播方式。“脚本类”下载者病毒(TrojanDownloader)呈现激增的趋势。病毒制作者经常将这两种病毒作为邮件附件并将其赋以诱惑性的文字发送给受害者。其运行后会下载勒索病毒等高危病毒,使用户造成严重的经济损失。文章目录JavaScript传播方式JavaScript恶意脚本形式1.随机变量名及函数名。2.添加垃圾代码。3.等效替换。
发布时间:2018-05-22 20:05 | 阅读:233031 | 评论:0 | 标签:安全分享 javascript 勒索软件 勒索邮件 恶意脚本 恶意邮件

JavaScript的反调试技术(下篇)

在本文的上篇中,我们为读者介绍了与JavaScript反调试有关的一些技巧,其中包括函数重定义、断点、时间差异、DevTools检测和执行流程完整性的隐式控制等,接下来,我们将为读者介绍更多的反调试技巧。
发布时间:2018-02-27 12:20 | 阅读:236567 | 评论:0 | 标签:Web安全 技术 Javascript 反调试

访问一个网站就能让ASLR保护失效,百万设备陷入危机

安全研究员发现一个芯片漏洞,此漏洞影响到数以百万计的设备,不管设备上安装的是什么操作系统或是应用程序,这个漏洞都能让设备的防黑保护无效化。更糟糕的是,这个漏洞不会因为任何的软件升级而被彻底修复。 该漏洞存在于内存管理单元(MMU)(许多CPU的组件)的工作方式中,利用此漏洞就能绕过地址空间布局随机化(ASLR)保护。 ASLR是现代操作系统重要的安全防御手段,无论是Windows和Linux还是macOS,Android,BSD都已采用了该技术。 一般来说,ASLR是一种内存保护机制,它使程序在设备内存中运行的位置随机化。
发布时间:2017-02-21 20:45 | 阅读:170593 | 评论:0 | 标签:漏洞 系统安全 aslr javascript

wix.com的Dom-Basic XSS漏洞

前言 wix.com是Java和HTML5出版平台,目前用户已经超过了数百万。而最近有研究人员在wix.com上面发现了基于DOM的跨站脚本漏洞,该漏洞被攻击者利用来对任何运行在wix.com上面的网站并获取控制权。 什么是Dom-Basic XSS 基于Dom的XSS攻击,其中攻击的有效载荷在受害者使用的浏览器上修改Dom环境从而被用作是原客户端的脚本,客户端的代码在一个“意外”的方式下运行,也就是说,页面本身不会改变,但是页面中包含的客户端代码由于DOM环境中发生的恶意修改而有所不同。 基于DOM的XSS攻击与常见的XSS攻击截然不同,由于服务器端脆弱性而在响应页面中提供恶意有效载荷。
发布时间:2016-11-05 02:05 | 阅读:289085 | 评论:0 | 标签:Web安全 DOM Javascript wix.com xss 漏洞

当我们在谈论前端加密时,我们在谈些什么

当然在谈安全。 前端安全是Web安全的一部分,常见的安全问题会有XSS、CSRF、SQL注入等,然而这些已经在程师界得到了相当高的重视并且有了很成熟的解决方案。 所以我们今天只谈前端“加密”,一个部分人认为没有意义的工作。 有争议的事情总是那么因崔斯汀,接下来就让我们谈谈前端传输中的数据“加密” 。 前端传输的数据我们应该用什么算法加密,如何组织整个加密过程呢? 一般有几种做法: JavaScript 加密后传输 浏览器插件内进行加密传输 Https 传输 在这里其实 HTTPS 是终极解决方案,所以文章对于仍在使用 HTTP 建站的小伙伴更有帮助。
发布时间:2016-08-16 21:05 | 阅读:163507 | 评论:1 | 标签:Web安全 Javascript 前端加密 前端安全 哈希加密 拖库 非对称加密 加密

httphijack:基于Javascript的前端Xss防御系统

项目主页: https://github.com/chokcoco/httphijack 简介 使用Javascript实现前端防御http劫持及防御XSS攻击,并且对可疑攻击进行上报 使用方法 引入httphijack1.0.0.jsht
发布时间:2016-08-14 22:35 | 阅读:150312 | 评论:0 | 标签:工具 httphijack Javascript xss xss防御 前端

警惕:钓鱼攻击的两大新型手段

研究人员注意到了一些新型的钓鱼攻击。网络罪犯使用了一些新的手段,防止引起注意,并让行动更加有效。越来越多的网络犯罪小组注意到,针对公司高管的钓鱼攻击的利润也许极其丰厚,但针对普罗大众的攻击也可能收获颇丰。因此,许多恶意行为源正在尝试改进攻击手段。一、错误配置的临时URL本月早些时候,Sucuri报告称发现了一种攻击者在钓鱼攻击中使用的新技巧。网络罪犯需要每隔一段时间就更改钓鱼页面的域名,防止被安全产品封堵,现在他们似乎找到了获取此类域名的新方式。研究人员表示,攻击者利用了一种现状:多数托管服务提供商,甚至是一些大型的,都没能够正确配置临时URL。
发布时间:2016-06-28 17:50 | 阅读:134425 | 评论:0 | 标签:黑极空间 JavaScript PayPal钓鱼邮件 Sucuri报告 网络罪犯 钓鱼攻击

JSPrime:基于JavaScript DOM XSS检测的轻量级代码审计工具

如今,随着前端技术人才需求的不断增加,越来越多的开发者逐渐将JavaScript作为其开发语言的第一选择。目前无论是在传统PC Web平台还是移动终端平台上,在客户端侧或者服务端侧,JavaScript均有不俗的性能体现及丰富的框架支持,所以其作为一个主流开发语言也逐渐被广泛认可接受。同时,JavaScript 也因其解释器性能上的优势,可为企业解决可扩展性和吞吐量等瓶颈问题。所以JavaScript当前来说是一种重要的、强大的开发语言,它的使用者也是日益增多。
发布时间:2016-03-31 18:10 | 阅读:136939 | 评论:0 | 标签:WEB安全 dom xss javascript JSPrime xss

技术分享:几种常见的JavaScript混淆和反混淆工具分析实战

信息安全常被描述成一场军备竞赛,白帽与黑帽,渗透测试者与黑客,善与恶,本文将聚焦这场永无止境决斗中的一个小点。HTML5 & JS 应用中充满着对输入进行验证/注入的问题,需要开发人员始终保持警惕。但同时还存在着另一个问题,就是应用中程序专用代码的易访问性。为了防止盗版或者至少使盗版更加困难,常会使用混淆工具对 JS 代码进行混淆。作为对立面,反混淆工具也可以将混淆过的 JS 代码进行还原。我曾经接触过双方的一些工具,下面是我的一些研究成果。首先,下面这是我们的示例代码(取自Google Closure Compiler的 Wiki 页面)。
发布时间:2016-03-05 13:15 | 阅读:176277 | 评论:0 | 标签:WEB安全 HMTL5 javascript 混淆反混淆

Cash:Javascript打造的Unix Shell

Cash是一种纯粹由ES6(Javascript)实现的跨平台的Unix shell,它可以在windows下使用,曾经受超过200次严格全面的单元测试。介绍Cash的github地址在这里,你可以联想下Cygwin,不过Cash还具有别的特性:1.非本地编译2.没有麻烦的DLL文件3.任何终端可用4.只有Cygwin约15分之一的大小Cash其实有特殊的意义,它将“>”标志换成了“$”,也就是货币符号,代表着“问既有答”的理念。> cash$当然,Cash看起来其实跟bash挺像,其实也确实有关系。
发布时间:2016-02-26 21:15 | 阅读:117075 | 评论:0 | 标签:安全管理 工具 cash javascript

深夜话题:这十二行代码是如何让浏览器爆炸的?

起因今天刷推特的时候发现Cyber Security@cyber__sec的推文让人眼前一亮:Crash firefox, chrome, safari browsers, and also&nb
发布时间:2016-01-20 23:05 | 阅读:200924 | 评论:1 | 标签:活动 终端安全 0day Bug javascript 崩溃 浏览器

利用javascript压缩工具留下后门

在POC||GTFO 0×08的文章” Deniable Backdoors Using Compiler Bugs”中,作者提到了利用CLANG编译器本身的bug来生成一个有后门的sudo,使其允许任何用户获取root权限。这种技术相当猥琐,毕竟没人能通过审查源码就证明他们对sudo的修改是一个后门;相反,这个权限提升后门是由特定版本的CLANG在编译的时候插入进去的。这不禁让我思考,能否在javascript中使用同样的后门技术。JS几乎处处可见其身影(从浏览器,到服务器,到arduino,到机器人,甚至某一天还可能在汽车上见到它的踪迹)。
发布时间:2015-11-01 01:15 | 阅读:181076 | 评论:0 | 标签:漏洞 javascript 后门

使用 estools 辅助反混淆 Javascript

知道创宇安全研究团队  ChiChou:2015.8.7   1. 前言 Javascript 作为一种运行在客户端的脚本语言,其源代码对用户来说是完全可见的。但不是每一个 js 开发者都希望自己的代码能被直接阅读,比如恶意软件的制造者们。为了增加代码分析的难度,混淆(obfuscate)工具被应用到了许多恶意软件(如 0day 挂马、跨站攻击等)当中。分析人员为了掀开恶意软件的面纱,首先就得对脚本进行反混淆(deobfuscate)处理。 本文将介绍一些常见的混淆手段和 estools 进行静态代码分析的入门。
发布时间:2015-08-07 19:10 | 阅读:214825 | 评论:0 | 标签:技术分享 chichou javascript 反混淆 混淆

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云