首页
文章
|
文章分类
安全知识
|
安全资讯
|
安全活动
|
安全工具
|
招聘信息
|
内容精选
360网络安全周报
|
安全客季刊
|
专题列表
|
热门标签
网络安全热点
|
招聘
|
活动
|
CTF
|
安全活动
|
行业资讯
|
网络攻击
|
漏洞情报
|
每日安全热点
|
漏洞
|
SRC导航
内容精选
投稿
登录
注册
主页2
个人主页
消息
我的消息
设置
个人设置
关闭
退出登录
首页
安全知识
安全资讯
招聘信息
安全活动
APP下载
nodejs
nodejs
从一道题开始的pug原型污染链挖掘
nodejs
原型链污染
之前在hackthebox的一次ctf比赛中有一道题考察了原型链污染攻击pug,在做题的时候用AST Injection这种方式又发现了一个未公开的pug&&jade的原型攻击链,和大家分享一下.
L0nm4r
2021-07-14 10:30:59
307979
次阅读
CTF
nodejs中代码执行绕过的一些技巧
CTF
Web安全
nodejs
在php中,eval代码执行是一个已经被玩烂了的话题,各种奇技淫巧用在php代码执行中来实现bypass。这篇文章主要讲一下nodejs中bypass的一些思路。
sakai
2021-04-23 10:00:51
477648
次阅读
1
Javascript
NodeJS从零开始到原型链污染
Javascript
nodejs
原型链
因为近段时间包括去年,在打CTF的时候确实有遇到NodeJS的题目,但是从来没系统学习,所以拿到题很懵。不知道应该从什么地方入手,所以决定去学习一下,但是之前没怎么学过JavaScript,语法之类的更是不懂,所以在此之前,花了三五天的时间,一边做题一边恶补了JavaScript的基础。
m0re
2021-04-20 10:30:40
426185
次阅读
3
nodejs
关于nodejs的ejs和jade模板引擎的原型链污染挖掘
nodejs
原型链污染
关于 ejs 和 jade 模板的语句拼接, 官方承认不是一个漏洞, 原型链的危害很大, 但是原型链污染攻击有个弊端,就是一旦污染了原型链,除非整个程序重启,否则所有的对象都会被污染与影响!
AmTrain
2021-04-15 14:30:36
382082
次阅读
3
CTF
记一场纯JS赛——DiceCTF2021 Web题解
CTF
Web
Javascript
nodejs
双倍活动
前段时间我参加了一场国外的比赛,与国内的web题目以php和python居多不同,感觉国外比赛中考察js尤其nodejs的内容比较多,而这场更是基本都是js题目,觉得有些点比较新奇,这里来分享一下wp。
sakai
2021-02-19 15:30:34
468984
次阅读
漏洞分析
Nodejs中模板引擎渲染原理与潜在隐患探讨
漏洞分析
nodejs
为什么原型链污染能结合模板引擎能达到这样的效果?模板引擎究竟是如何工作的?除了原型链污染,还有其他方式也能达到同样的效果吗?带着这样的疑问,无恒实验室成员决定对nodejs模板引擎的内在机制进行一些探索。
字节跳动无恒实验室
2021-01-22 10:30:06
366884
次阅读
沙箱逃逸
vm2沙箱逃逸分析
沙箱逃逸
nodejs
vm2中在版本的更迭中,存在多种逃逸方法,但是 issue中都没有给出具体的分析,本文通过几个典型的案例来分析这些代码是如何逃逸出vm2的。
百浪多息prontosil.club
2020-06-03 10:00:21
448752
次阅读
3
沙箱逃逸
vm2实现原理分析
沙箱逃逸
nodejs
vm是nodejs实现的一个沙箱环境,但是官方文档并不推荐使用vm来运行不可信任的代码,vm2则是一个npm包,在vm的基础上,通过es6新增的代理机制,来拦截对外部属性的访问,那么这个沙箱是否安全呢?
百浪多息prontosil.club
2020-06-02 10:30:51
471150
次阅读
7
加载更多
热门标签
安全资讯
安全知识
安全热点
漏洞分析
恶意软件
网络安全热点
招聘
活动
CTF
安全活动
行业资讯
网络攻击
漏洞情报
每日安全热点
漏洞
Web安全
安全头条
漏洞预警
渗透测试
数据泄露
热门推荐