安全客
2018年11月21日,名为 @FallingSnow的用户在知名JavaScript应用库event-stream的Github issuse中发布了针对植入的恶意代码的疑问I don't know what to say,表示event-stream中存在用于窃取用户数字钱包的恶意代码。
最近关注到一些Node.js的漏洞,比较感兴趣的一个反序列化导致远程代码执行的漏洞,个人开发Node.js也有不短时间,决定尝试复现分析它并给出一些开发建议,遂有此文。
今年先知大会上p牛分享了一些关于GraphQL安全的内容,我正好有使用GraphQL,于是想写一些我对GraphQL安全的一些理解和看法,和@gyyyy 联手写了这篇文。
接触NoSQL已经近两年了,最近在研究NoSQL注入,写下这篇文章输出我的一些沉淀。
这是一个玩起来相当有意思的靶场,不需要太刁钻的姿势,主要考验的是逻辑推理能力和细节观察能力,漏洞场景常见,却又不能拿扫描器盲扫,还原的时候深度研究了下nosql,尽量真实的还原了企业的漏洞事件。
勋章成就
稿费总计 600
发表文章 5
参与讨论 5
关注
0
粉丝
1