静态代码分析安全公司 Veracode 近日发布了一份应用程序分析报告,结果发现比起 JavaScript 和 Python 等语言,C++ 和 PHP 的安全漏洞要严重得多。
选自ZDNet 作者:Liam Tung 机器之心编译 编辑:Panda 静态代码分析安全公司 Veracode 近日发布了一份应用程序分析报告,结果发现比起 JavaScript 和 Python 等语言,C++ 和 PHP 的安全漏洞要严重得多。 如果你是一位靠 .NET、C++、Java、JavaScript、PHP 或 Python 吃饭的开发者,那要注意了:一项新研究揭示了这些编程语言的主要安全漏洞。 静态代码分析安全公司 Veracode 近期发布了这些语言的漏洞类型数据,这是该公司扫描了
今天分享的Writeup是关于Outlook for Andriod的存储型XSS漏洞,作者通过朋友发来的技术邮件偶然发现了该漏洞,历经长达几个月的复现构造,最终微软承认了该漏洞(CVE-2019-1105)。
跨站脚本,或者 XSS,涉及到站定包含非预期的 JavaScript 脚本代码,它随后传给用于,用户在浏览器中执行了该代码。它的一个无害示例为:
在本节中,我们将描述什么是 DOM ,解释对 DOM 数据的不安全处理是如何引入漏洞的,并建议如何在您的网站上防止基于 DOM 的漏洞。
据软件测试公司Veracode最新的报告,超过四分之三使用 Java 和 .NET 编写的应用程序至少存在一个以上的 OWASP Top 10 漏洞。OWASP Top 10 是根据开放 Web 应用程序安全项目公开共享的 10 个最关键的 Web 应用程序安全漏洞列表。
一个未知的黑客组织在向公开恶意软件扫描引擎上传一个用于攻击的 PDF 文件时,无意间泄露了两个 0-day 漏洞。漏洞被研究人员捕获,并及时上报给厂商修复。
跨站脚本攻击(XSS)是一种客户端代码注入攻击。攻击者通过在合法的网页中注入恶意代码,达到在受害者的浏览器中执行恶意代码的目的。当受害者访问执行恶意代码的网页时,攻击就开始了。这些网页成为了将恶意代码发送到用户浏览器的工具。通常受到跨站脚本攻击的网页包括论坛、留言板以及可以评论的网页。
在手机中,我们通常访问一个网站的做法是打开浏览器在地址栏中输入网站地址,一般来说这样的方法有些烦人,所以,有些网站访问对象通常也会生成一个二维码图片,方便用户直接扫码访问,只要用户手机扫码就能跳转到目标访问网站,或是把相应信息显示在用户手机中。几乎我们所有人都会用手机的扫码功能,但是,你是否想过,如果你信任的应用APP其扫码功能出现安全错误,会发生什么情况?今天,我们就来谈谈Firefox IOS v10浏览器中的扫码XSS漏洞。
近日,一个存在于谷歌眼镜的安全漏洞被发现,能够让攻击者轻易执行任意代码。事实上,这个漏洞可以追溯到去年下半年安全研究人员在Android 4.1系统中发现的JavaScript API错误。这个功能为“addJavascriptInterface()”,被设计为允许开发者通过有限范围的JavaScript来访问Java代码,但是由于存在Bug,只需创建一个运行代码的WebView,就能够访问已经损坏的JavaScript功能。简单地说,便是通过这个漏洞获得最高JavaScript权限。
上礼拜发现的关于使用 this.getPageNumWords()&this.getPageNthWord() 方法来进行混淆的 PDF 漏洞不久,我们发现另外一个在 PDF 漏洞中更加强大的混淆利用技术。这种技术使用所谓的“隐写术”方法来隐藏嵌入在 PDF 文件中的图像中的恶意 Javascript 代码,它非常强大,因为它可以绕过几乎所有的 AV 引擎。
Ryhmnlfj发现GitLab的Wiki特定的分层链接Markdown存在存储型XSS漏洞。
微信号:freebuf Linus(@_zulln)是一位有着15年漏洞挖掘经验的瑞士黑客,本文就是他写的。 现在使用HTML5开发移动APP越来越受欢迎。HTML5不仅开发效率高,而且可以跨平台,代码重用性也很高。Zoho(全球第一大在线软件提供商,总部位于美国)是一个有着1300万用户的HTML5邮件系统,我打算挖挖他们的漏洞。 寻找Html和Javascript代码 首先我从Google Play上下载了APK,用解压软件打开。 assets文件夹中有很多html文件,html文件和jav
雅虎邮件编辑器允许人们将图片通过 HTML IMG 标签嵌入到邮件中。这个漏洞在 HTML IMG 标签格式错误或者无效时出现。
一、漏洞描述 近期,微信等多款安卓流行应用曝出高危挂马漏洞:只要点击好友消息或朋友圈中的一条网址,手机就会自动执行黑客指令,出现被安装恶意扣费软件、向好友发送欺诈短信、通讯录和短信被窃取等严重后果。在乌云漏洞平台上,包括安卓版微信、QQ、腾讯微博、QQ浏览器、快播、百度浏览器、金山浏览器等大批应用均被曝光同类型漏洞。 二、影响版本 Android系统版本低于4.2 三、漏洞原理 漏洞点:WebView.addJavascriptInterface(Object obj, String interfaceNa
Android API level 16以及之前的版本存在远程代码执行安全漏洞,该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法,远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法,简单的说就是通过addJavascriptInterface给WebView加入一个JavaScript桥接接口,JavaScript通过调用这个接口可以直接操作本地的JAVA接口。该漏洞最早公布于CVE-2012-6636【1】,其描述了WebView中addJavascriptInterface API导致的远程代码执行安全漏洞。
Web程序漏洞的存在,是建立在Web程序运行的基础之上的。测试人员可以通过尝试给Web程序提供的不同的输入数据, 尝试让Web程序出错,这本质上,相当于对Web程序,进行基于特定数据输入的功能性黑盒测试,故意针对Web程序,提供可能会造成出错的输入数据,让Web程序产生,所谓的“漏洞”现象,并可以复现漏洞,并且利用程序的出错,获得程序所在计算机的更大的用户权限、或者达到其他的目的。
JS调用Android的其中一个方式是通过addJavascriptInterface接口进行对象映射:
jQuery是一个快速、简洁的JavaScript框架,是一个丰富的JavaScript代码库。jQuery设计的目的是为了写更少的代码,做更多的事情。它封装JavaScript常用的功能代码,提供一种简便的JavaScript设计模式,优化HTML文档操作、事件处理、动画设计和Ajax交互。
您是否知道高达90%的应用程序通常包含第三方组件,主要是开源软件?您是否知道全球500强中超过50%使用易受攻击的开源组件?
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
攻击中利用的问题之一是一个零日漏洞,该漏洞会影响多个插件,并且可能使黑客创建管理员帐户并接管站点。
上两篇文章讲到了WebView的基本使用以及Android和js的交互 以及 全面总结WebView遇到的坑及优化 ,这篇文章讲一下内存泄漏和漏洞处理。如果你想更深入的了解WebView,这篇文章值得一看。
XSS(Cross-site scripting,跨站脚本)攻击是Web应用程序中一种典型的安全性漏洞。XSS允许攻击者向网页注入客户端脚本从而使其他浏览者运行此脚本。这种脚本可能被攻击者用来绕过同源策略(same-origin policy)。根据赛门铁克的数据,大约84%的网站安全漏洞是XSS漏洞。白帽公司HackerOne在2017年报道称XSS仍然是主要威胁载体。XSS既可以造成相当的麻烦,也可以导致严重的安全风险,这取决于网站处理的数据的敏感性与网站主实施的安全缓解措施的性质。
在此报告中,我们调查了 Angular 和 React 生态系统的安全状态。在这份报告种我们根本没有将它们作为竞争性框架进行比较。相反,我们把它们作为可行的构建 JavaScript 项目的前端生态系统的替代方案进行了审查,同时重点关注了每种方案的安全风险和最佳实践,以及它们之间的差异。
大家好,我是Leon-pi,可以叫我pipi,新人报道,是个菜鸟,由于个人也是在学习过程中,文章写的也不是面面俱到,尽善尽美,请见谅。
在本章中,我们将了解一些不太知名的 Android 攻击向量,这在 Android 渗透测试中可能很有用。 我们还将涵盖一些主题,如 Android 广告库中的漏洞和WebView实现中的漏洞。 作为渗透测试者,本章将帮助你以更有效的方式审计 Android 应用程序,并发现一些不常见的缺陷。
Web 应用程序设置了不含 HttpOnly 属性的会话 Cookie,因此注入站点的恶意脚本可能访问并窃取 Cookie 值。任何存储在会话令牌中的信息都可能会被窃取,它们可能被用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。JavaScript Document.cookie API 无法访问带有 HttpOnly 属性的 Cookie,此类 Cookie 仅作用于服务器。例如,持久化服务器端会话的 Cookie 不需要对 JavaScript 操作,而应具有 HttpOnly 属性。会话 Cookie 设置 HttpOnly 属性,此预防措施有助于缓解跨站点脚本(XSS)攻击。
事后看来,许多广泛部署的技术似乎是一个奇怪或不必要的冒险想法。IT 中的工程决策通常是在不完整的信息和时间压力下做出的,IT 堆栈的一些奇怪之处最好用“当时似乎是个好主意”来解释。在这篇文章的一些作者的个人观点中,WPAD(“Web Proxy Auto Discovery Protocol”——更具体地说是“Proxy Auto-Config”)就是其中之一。
在一次漏洞挖掘过程中,我发现 callback=jsonp_xxx 或者 callback=jQuery_xxx 这类格式的URL存在 XSS 漏洞,当时没有自己研究具体是怎么回事
你好,我已经很久没有分享我最近的研究/发现了,但在这篇报道中,我将分享我发现的一个漏洞,这对我来说相当有趣,可能会改变你对 "SELF XSS "的看法。
微软近日对外披露了两个0day漏洞详情,其中一个漏洞存在Adobe阅读器中,可被利用导致任意代码执行;另一个漏洞则允许任意代码在Windows kernel内存中提权执行。
北京时间4月13日凌晨,安全研究人员Rajvardhan Agarwal在推特上发布了一个可远程代码执行(RCE)的0Day漏洞,该漏洞可在当前版本的谷歌Chrome浏览器和微软Edge上运行。
根据最新的消息,安全研究专家发现了一个0day漏洞,攻击者或可利用该漏洞在Tor和Firefox浏览器用户的计算机中执行恶意代码。 就在几天前,Tor官网上首次出现了关于一个未知的Firefox漏洞的
作者在测试Facebook的近期推出的某个新应用中(出于保密原因此处不便公开),存在跨站Websocket Hijacking漏洞,攻击者利用该漏洞可以劫持使用该新应用的用户Websocket 连接,之后构造恶意的Websocket信息,可实现对目标受害者的Facebook账号劫持。
近期,研究人员在流行的Shazam应用程序中发现了一个漏洞。在该漏洞的帮助下,攻击者只需单击一个链接就可以窃取用户的精确位置!目前,受该漏洞影响的用户数量已经超过了一个亿,攻击者只需要通过单击链接即可访问受应用程序权限保护的设备功能。实际上,如果攻击者更聪明的话,这个漏洞也可以被转换为零点击漏洞。但不幸的是,苹果和谷歌拒绝为这个漏洞提供任何的漏洞奖励,不过大家不用担心,因为问题已经解决了…
2018年9月26日,开源Closure库(最初由谷歌创建并用于谷歌搜索)的一名开发人员创建了一个提交,删除了部分输入过滤。据推测,这是因为开发人员在用户界面设计方面出现了问题。但此次提交的开发人员以及审核人员并未发现这一举动将会导致XSS。
跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码(一般是JS代码)到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。它常常与其他漏洞一起造成破坏性的后果。
原版本为米斯特安全团队PoCBox – 漏洞测试验证辅助平台PoCBox - 漏洞测试验证辅助平台介绍开发这个平台的初衷是帮助自己在漏洞挖掘测试中更加方便快捷的辅助自己进行漏洞验证。一开始的想法是框架化、模块化,但是开发着开发着就发现有点累,于是采用了原始的方法去开发:原生JavaScript+PHP。PoCBox功能:生成漏洞验证代码(便于撰写报告)、在线
本文分享的是作者在博客平台Medium上编写文章时,偶然发现一个Stored XSS漏洞,在此基础上深入分析又发现了Account Takeover账号劫持漏洞,完美实现赏金1000的提升。
XSS(跨站脚本攻击)漏洞是Web应用程序中最常见的漏洞之一,它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的,比如获取用户的cookie,导航到恶意网站,携带木马等。根据其触发方式的不同,通常分为反射型XSS、存储型XSS和DOM-base型XSS。漏洞“注入理论”认为,所有的可输入参数,都是不可信任的。大多数情况下我们说的不可信任的数据是指来源于HTTP客户端请求的URL参数、form表单、Headers以及Cookies等,但是,与HTTP客户端请求相对应的,来源于数据库、WebServices、其他的应用接口数据也同样是不可信的。根据请求参数和响应消息的不同,在XSS检测中使用最多的就是动态检测技术:以编程的方式,分析响应报文,模拟页面点击、鼠标滚动、DOM 处理、CSS 选择器等操作,来验证是否存在XSS漏洞。
Android 作为一个普及度、成熟度极高的平台,每天都有大量新 APP 涌现。开发一款 Android 应用,除了要有新颖的创意和高效的性能,保证安全性也是不容忽视的问题。俗话说打铁还需自身硬。接下来,我们会陆续与大家分享一些常见、不常见的代码风险问题,希望对您的 Android 开发工作有一定的启发和助益。
本文翻译自: http://mksben.l0.cm/2016/09/safari-uxss-showModalDialog.html (英文版) http://masatokinugawa.l0.cm/2016/09/safari-uxss-showModalDialog.html (日文版) 原作者:Masato Kinugawa 译者:Holic (知道创宇404安全实验室) 译者注:截止翻译日期,日文版又更新了一些内容,本文基于英文版原文翻译,部分增加的内容翻自日文原版。 本篇文章分享了Safari
对于Slack的桌面应用程序来说,一些应用内跳转、XSS、逻辑重定向和HTML或javascript注入bug,都有可能导致任意代码执行。这篇Writeup就讲述了作者通过构造HTML注入,绕过Slack安全控制措施,最终在Slack桌面应用中实现了RCE漏洞的情况。
一.漏洞描述 Node.js是一个Javascript运行环境(runtime)。实际上它是对Google V8引擎进行了封装。V8引擎执行Javascript的速度非常快,性能非常好。Node.js对一些特殊用例进行了优化,提供了替代的API,使得V8在非浏览器环境下运行得更好。 Node.js反序列化远程代码执行漏洞,Node.js的node-serialize库中存在一个漏洞,该漏洞通过传输JavaScript IIFE,利用恶意代码(未信任数据)达到反序列化远程任意代码执行的效果。 二.漏洞危害
本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究,谨遵守国家相关法律法规,请勿用于违法用途。
思科 Talos 研究员近期披露了在 Adobe Acrobat Reader DC 中的远程代码执行漏洞。攻击者可以将恶意 JavaScript 代码隐藏在 PDF 文件中。这些代码可以启用文档 I
领取专属 10元无门槛券
手把手带您无忧上云