作者 | Tina、万佳 | InfoQ无论是前端还是后端,只要有代码存在,就会出现漏洞。 最近,有两幅关于 Vue 安全问题的截图在业界广为传播,截图内容表明目前有多家公司统计软件开发过程中使用 Vue.js 和 SonarQube 的情况,疑似有黑客利用 Vue.js 和 SonarQube 中的漏洞对我国境内机关和重要企事业单位实施网络攻击探测。Vue 是一款
转载
2024-05-20 13:01:24
68阅读
一、前言 一个微小的漏洞,经过攻击者的巧妙而持久的利用,也会对企业和用户造成巨大的危害。而本文将要介绍的JS泄露敏感信息问题也是如此,攻击者不仅可以轻松收集用户手机号,姓名等隐私信息,更可以借此攻入企业后台甚至是getshell。本文将通过一些公开和未公开的漏洞详细阐述此类漏洞 二、漏洞成因JavaScript作为一种相当简单但功能强大的客户端脚本语言,本质是一种解释型语言。所以,其执行原理是边解
转载
2024-05-13 20:53:30
771阅读
文章目录1.【中危】不安全的Javascript库(Vulnerable Javascript library)漏洞描述SWFObject库YUI库漏洞危害漏洞证明修复建议2.【中危】缓慢的HTTP拒绝服务攻击(Slow HTTP Denial of Service Attack)漏洞描述漏洞危害漏洞证明安装工具工具命令四种方式slow headerslow readslow postslowl
转载
2023-11-16 09:30:50
2757阅读
一.编写JavaScript库要注意的问题为了让自己的JS库构建的更加优雅、合理,我们编写JS库时要注意两方面的内容:1.不要使用版本检测,而要使用能力检测由于浏览器的类型和版本太多,以及不断的新的浏览器出现,我们不可能投入大量的时间和成本去实践检测各种版本的浏览器。"浏览器检测"也叫"版本检测"通常被认为是一种错误的做法,浏览器检测的最佳实践是能力检测,通常也被称为对象检测,指的是在代码执行之前
0x00 前言我们在测试的之前,信息收集是必要的步骤,而JS文件中往往会暴露出很多的信息,比如一些注释的中铭感信息,内网ip等等,还会有一些绝对路径或者相对路径的url,而这些url中很有可能就存在着一些未授权访问或者其他更高级的,但是手动的去一个个查看的效率太过于地下,所以这里分享一个JS文件的信息收集工具——LinkFinder 0x01 LinkFinder介绍LinkFi
转载
2024-03-13 14:04:31
59阅读
JavaScript 常用校验检查 的封装和汇总 (Web开发中都会用到): /**
* JavaScript 检查库
* @author Beau Virgill
* @version 1.20
* @last modify time 2013/2/24
* #@ validate.js
* 第一类 检查并返回检查结果(true or false)
* a-1. if
转载
2023-10-30 12:42:31
13阅读
Server-side JavaScriptJavaScript是最流行的编程语言之一,但主要用于客户端任务。而Node.js的广泛应用使JavaScript开始应用到服务端。但一个主循环的计算请求会减慢所有的入请求,比如匹配指数级复杂度的正则表达式的字符串匹配会减慢所有的请求处理。因为在基于JavaScript的服务器中,正则表达式是在主循环中匹配的,所以针对基于JavaScript的服务器的R
转载
2023-08-28 20:28:50
28阅读
XSS漏洞的危害
XSS 攻击是 Web 攻击的一种,攻击者可以将恶意脚本注入到受害者的浏览器中执行。以下是一些示例,详细解释了 XSS 攻击的危险性:
示例 1:窃取用户数据
假设有一個易受攻击的网站,它允许用户输入用户名并提交评论。攻击者可以利用这个漏洞注入恶意脚本,例如:
<script>
document.cookie = "username=attacker&q
原创
2024-08-23 07:24:14
198阅读
从这些示例中可以看到,XSS 攻击可以带来很大的危险,因为它允许攻击者在受害者的浏览器中执行恶意脚本而不被注意。当用户输入用户名并提交
原创
2024-08-27 14:16:15
11阅读
---恢复内容开始---JavaScript是Netscape公司开发的一种脚本语言(scripting language)。它使网页可以包含更多活跃的元素和更加精彩的内容。但是,其自身存在3个弊端,即复杂的文档对象模型(DOM)、不一致的浏览器实现和便捷的开发、调试工具的缺乏。正当JavaScript从开发者的视线中渐渐隐去的时候,一种新型的基于JavaScript的Web技术--Ajax(As
转载
2023-12-06 21:42:55
128阅读
# 脆弱的 JavaScript 库:理解与应对
在当今的前端开发环境中,JavaScript 库扮演着不可或缺的角色。这样做的原因是,它们提供了一系列丰富的功能和现成的方法,使开发者能够快速完成任务。然而,这些库并不是万无一失的。在使用某些脆弱的 JavaScript 库时,我们需要面对一系列潜在的安全隐患和性能问题。本文将为您详细解析脆弱的 JavaScript 库,结合代码示例、甘特图和序
原创
2024-09-24 04:07:54
385阅读
脆弱的JavaScript库在开发过程中给我们带来了不少挑战,尤其是在依赖的稳定和安全性上。这篇博文将详细介绍如何解决这些问题,从版本对比到生态扩展,帮助开发者理清思路,做好准备。
### 版本对比
首先,了解不同版本之间的特性差异非常重要。在这里,我们通过一个表格来直接对比各个版本的主要特性:
| 特性 | 版本 1.0 | 版本 2.0 | 版本 3.0 |
|-
什么是网站安全漏洞?网站漏洞是指网站存在可以利用的缺陷或者弱点,它能破坏网站安全系统,威胁网站正常运营。网站安全漏洞有什么危害?不同的网站漏洞的危害程度也各不相同。比如跨站脚本漏洞能被黑客通过利用浏览器中的恶意脚本获得用户数据,破坏网站,插入有害内容,以及展开钓鱼式攻击和恶意攻击,注入漏洞可被黑客利用创建、读取、更新或者删除网站程序上的任意数据。 在最坏的情况下,攻击者可以利用此类漏洞完
原创
2014-05-04 14:17:17
720阅读
# JavaScript危害及防范措施
JavaScript是一种前端开发的脚本语言,它可以为网页增添交互性和动态效果。然而,正因为其灵活性和强大的功能,JavaScript也存在一些潜在的危害。在本文中,我们将探讨JavaScript的一些常见危害,并介绍一些防范措施来保护我们的网页和数据安全。
## 1. XSS攻击
XSS(跨站脚本攻击)是一种常见的网络攻击方式,攻击者通过注入恶意脚本
原创
2023-08-05 03:57:18
151阅读
0x00 背景昨天又是忙碌的一天,因为我获知近期有破壳漏洞利用攻击,所以我们团队集合起来对所有近期的捕获到的互联网交叉流量中的ELF文件威胁 (ELF threats)进行检测。我查看了一套shell脚本的命令部分,立刻就知道它基本上就是Linux/XOR.DDoS木马。我又检查了payload,并且深入查看了细节。最终确定这就是Linux/XOR.DDoS。相关信息可以查看: blog.malw
转载
2024-08-06 11:39:09
66阅读
0、导言JavaScript中有许多难以避免的问题特性。接下来就一一揭示。1、全局变量在所有JavaScript的糟糕特性中,最为糟糕的就是全局变量的依赖。全局变量使得在同一个程序中运行独立的子程序变得更难。2、作用域JavaScript是类C的语法,但是却没有提供类C的块级作用域。3、自动插入分号JavaScript有一个自动修复机制,会试图通过自动插入分号来修正有缺损的程序,但是它有可能掩盖更
转载
2024-09-05 21:12:12
51阅读
近日,美国高校安全研究团队发布了一份关于网络上使用JavaScript程序库的分析报告,报告中指出在所调查的13.3万个网站中,有37%的网站存在使用含有漏洞的JavaScript程序库的情况,而且至少使用了1个,同时这些程序库多是很久都未更新的老版本。 37%网站存在JavaScript库漏洞JavaScript作为一种高级动态程序语言,是与HTML及CSS并重的网页前端设计标准代码,堪称万维
转载
2023-08-21 20:47:04
24阅读
CORS小总结今天偶然知道了有这么一种漏洞,遂在网上找了一些文章了解了一下,顺便做一下总结。这个漏洞跟同源策略有关,同源策略限制了不同协议、域名、端口的访问。但是因为现在有些网站需要实现一些跨域的功能,所以CORS(跨域资源共享)就这么诞生了。CORS是为了告诉浏览器,哪些来源的服务器可以访问、读写本站的资源,但是如果来源不受任何限制,就造成了漏洞的产生。下面以国外大佬的文章作为案例讲解。附上地址
转载
2024-05-17 23:51:08
177阅读
目录Gui.js库基本使用使用three自带gui库实现基本操作gui库实现下拉菜单和单选框gui库分组方法实现使用dat.gui第三方库Gui.js库基本使用gui.js说白了就是一个前端js库,对HTML、CSS和JavaScript进行了封装,学习开发3d技术时借助该库可以快速创建控制三维场景的UI界面,当然你也可以通过npm去安装第三方包的方式来获取该库的内容,为了方便,three.js官
目录Gui.js库基本使用使用three自带gui库实现基本操作gui库实现下拉菜单和单选框gui库分组方法实现使用dat.gui第三方库Gui.js库基本使用gui.js说白了就是一个前端js库,对HTML、CSS和JavaScript进行了封装,学习开发3d技术时借助该库可以快速创建控制三维场景的UI界面,当然你也可以通过npm去安装第三方包的方式来获取该库的内容,为了方便,three.js官
