Javascript

接下来,我们将讨论利用反射型或存储型XSS漏洞的各种可能性,并绕过我们与目标站点之间的XSS过滤器或防火墙。而在我们看来,其中一种最为有效的绕过方法就是利用类似self、document、this、top或window这样的全局变量。
最近看到一篇原型链污染的文章,自己在这里总结一下。
SSJI(服务器端JavaScript注入) 就是一种比较新颖的攻击手法。攻击者可以利用JS函数在服务器上执行恶意JS代码获得cmdshell。
在参与某个漏洞赏金计划时,我发现某个站点的功能非常有趣:该站点允许用户使用可控的表达式来过滤数据,因此开始寻找能规避沙箱的新方法。
最近因为需求,需要测量JavaScript单个函数的执行时间,但由于精度问题,遇到了各种各样的问题,在此做简单记录。
在这篇文章中,我们将探索解释器的内部,从而找到逃逸NodeJS沙箱的方法。
2018年11月21日,名为 @FallingSnow的用户在知名JavaScript应用库event-stream的Github issuse中发布了针对植入的恶意代码的疑问I don't know what to say,表示event-stream中存在用于窃取用户数字钱包的恶意代码。
2018年11月21日,名为 FallingSnow的用户在知名JavaScript应用库event-stream在github Issuse中发布了针对植入的恶意代码的疑问,表示event-stream中存在用于窃取用户数字钱包的恶意代码。
作者学习Vivek Ramachandran讲解的“无线局域网安全Megaprimer课程”后一直在思考获取Wi-Fi密码的“非常规”的方法,这是作者在思考过程中的一些研究。
近日,我妈妈正在浏览网站想购买一副新眼镜,在访问marveloptics.com时,她的防病毒软件开始预警某些恶意JavaScript脚本。而我总是很好奇病毒是如何工作,实现攻击的,所以我对其进行了逆向分析。