事件始末
2018年11月21日,名为 @FallingSnow的用户在知名JavaScript应用库event-stream的Github issuse中发布了针对植入的恶意代码的疑问I don't know what to say,表示event-stream中存在用于窃取用户数字钱包......
事件始末
2018年11月21日,名为 @FallingSnow的用户在知名JavaScript应用库event-stream的Github issuse中发布了针对植入的恶意代码的疑问I don't know what to say,表示event-stream中存在用于窃取用户数字钱包......
起因
需求源于痛苦。很多人可能已经深有体会,搭建环境的时间可能会远大于真正做事时间。我最近在看一些Java的漏洞,但我不是Java开发者,并没有现成的Java环境。而且最近我没有自己的电脑用,需要管理员权限的操作我都不能执行。用着并不熟悉的IDEA,拉下来的代码编译无数遍都没有通过。检查了各种配置......
最近关注到一些Node.js的漏洞,比较感兴趣的一个反序列化导致远程代码执行的漏洞,个人开发Node.js也有不短时间,决定尝试复现分析它并给出一些开发建议,遂有此文。
漏洞复现
我使用 0.0.4 版本的node-serialize进行复现。
首先使用Node.js 自带的 chil......