图南
  • 首页
  • 归档

现实版解密游戏——NPM 软件包 event-stream 恶意篡改事件后门代码分析

发表于 2018-12-11   |   阅读次数 1094

事件始末

2018年11月21日,名为 @FallingSnow的用户在知名JavaScript应用库event-stream的Github issuse中发布了针对植入的恶意代码的疑问I don't know what to say,表示event-stream中存在用于窃取用户数字钱包......

阅读全文 »

使用Docker快速搭建漏洞分析环境

发表于 2018-11-14   |   阅读次数 772

起因

需求源于痛苦。很多人可能已经深有体会,搭建环境的时间可能会远大于真正做事时间。我最近在看一些Java的漏洞,但我不是Java开发者,并没有现成的Java环境。而且最近我没有自己的电脑用,需要管理员权限的操作我都不能执行。用着并不熟悉的IDEA,拉下来的代码编译无数遍都没有通过。检查了各种配置......

阅读全文 »

Node.js 反序列化远程代码执行分析

发表于 2018-08-25   |   阅读次数 295

最近关注到一些Node.js的漏洞,比较感兴趣的一个反序列化导致远程代码执行的漏洞,个人开发Node.js也有不短时间,决定尝试复现分析它并给出一些开发建议,遂有此文。

漏洞复现

我使用 0.0.4 版本的node-serialize进行复现。

首先使用Node.js 自带的 chil......

阅读全文 »
< 3 4 5 6 7 >
49 日志
4 分类
4 标签
RSS
©2022
Powered By - Bitcron
Theme - NexT