Javascript

在参与某个漏洞赏金计划时,我发现某个站点的功能非常有趣:该站点允许用户使用可控的表达式来过滤数据,因此开始寻找能规避沙箱的新方法。
最近因为需求,需要测量JavaScript单个函数的执行时间,但由于精度问题,遇到了各种各样的问题,在此做简单记录。
在这篇文章中,我们将探索解释器的内部,从而找到逃逸NodeJS沙箱的方法。
2018年11月21日,名为 @FallingSnow的用户在知名JavaScript应用库event-stream的Github issuse中发布了针对植入的恶意代码的疑问I don't know what to say,表示event-stream中存在用于窃取用户数字钱包的恶意代码。
2018年11月21日,名为 FallingSnow的用户在知名JavaScript应用库event-stream在github Issuse中发布了针对植入的恶意代码的疑问,表示event-stream中存在用于窃取用户数字钱包的恶意代码。
作者学习Vivek Ramachandran讲解的“无线局域网安全Megaprimer课程”后一直在思考获取Wi-Fi密码的“非常规”的方法,这是作者在思考过程中的一些研究。
近日,我妈妈正在浏览网站想购买一副新眼镜,在访问marveloptics.com时,她的防病毒软件开始预警某些恶意JavaScript脚本。而我总是很好奇病毒是如何工作,实现攻击的,所以我对其进行了逆向分析。
​DNS Rebind Toolkit是用于开发针对本地局域网脆弱主机和服务的DNS重绑定攻击的前端JavaScript框架。它可以用的目标设备是像Google Home、Roku、Sonos WiFi扬声器、WiFi路由器、“智能”恒温器和其他物联网设备等设备。
最近在2018年5月22日发现了一个有趣的LNK文件,该文件使用了一个利用github进行C&C通信的机制,并使用了一个新的基于JavaScript的Bot来在系统上执行恶意活动。