Electron 曝 XSS 漏洞,Atom、VS Code 等受影响

栏目: IT资讯 · 发布时间: 6年前

内容简介:近日,Trustwave 公布了 Electron 上一个可引发跨站脚本攻击的漏洞 CVE-2018-1000136,包括 Atom 与 VS Code 在内的众多主流应用受到影响。 Electron 本质上是一个 Web 应用程序,这意味着它也需要正确过滤用户的...

近日,Trustwave 公布了 Electron 上一个可引发跨站脚本攻击的漏洞 CVE-2018-1000136,包括 Atom 与 VS Code 在内的众多主流应用受到影响。

Electron 曝 XSS 漏洞,Atom、VS Code 等受影响

Electron 本质上是一个 Web 应用程序,这意味着它也需要正确过滤用户的输入,否则很容易受到跨站脚本攻击。据分析,通过将 nodeIntegration 设置成 true,Electron 不仅可以访问自己的 API,还可以访问到其它内置 Node.js 模块,在 WebView 标签和 window.open() 函数的默认作用下,使得攻击者可以执行一些危害操作,例如在 child_process 模块中发起请求,从而在客户端执行系统命令。

Electron 是一个流行的开发框架,它允许开发者使用 HTML、CSS 和 JavaScript 创建跨平台的桌面应用程序。一些流行的应用程序,如 Slack、Discord、Signal、Atom、Visual Studio Code 和 Github Desktop 都是使用 Electron 框架构建的,这使得此次漏洞影响较为广泛,但是目前该漏洞补丁已经发布,只要过去几周内进行过升级,那么大多数应用都不会受到影响。点击了解详情


【声明】文章转载自:开源中国社区 [http://www.oschina.net]


以上所述就是小编给大家介绍的《Electron 曝 XSS 漏洞,Atom、VS Code 等受影响》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

游戏编程模式

游戏编程模式

Robert Nystrom / GPP翻组 / 人民邮电出版社 / 2016-9-1 / 61.4

游戏开发一直是热门的领域,掌握良好的游戏编程模式是开发人员的应备技能。本书细致地讲解了游戏开发需要用到的各种编程模式,并提供了丰富的示例。 全书共分20章,通过三大部分内容全面介绍了与游戏编程模式相关的各类知识点。首部分介绍了基础知识和框架;第二部分深入探索设计模式,并介绍了模式与游戏开发之间的关联;第三部分介绍了13种有效的游戏设计模式。 本书提供了丰富的代码示例,通过理论和代码示例......一起来看看 《游戏编程模式》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器