【FreeBuf字幕组】Web安全漏洞系列:Electron框架漏洞

栏目: 编程工具 · 发布时间: 5年前

内容简介:*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。Electron是GitHub开发且基于Chromium和Node.js的开源框架,它使用JavaScript、HTML和CSS构建跨平台桌面应用,以Chromium为前端显示,以Node.js为后端支撑。近年来Electron的应用非常广泛,像Skype、Brave、Signal、Slack、Basecamp、WordPress.com、Twitch、Ghost和AntSword(蚁剑)等程

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

内容介绍

Electron是GitHub开发且基于Chromium和Node.js的开源框架,它使用JavaScript、HTML和CSS构建跨平台桌面应用,以Chromium为前端显示,以Node.js为后端支撑。近年来Electron的应用非常广泛,像Skype、Brave、Signal、Slack、Basecamp、WordPress.com、Twitch、Ghost和AntSword(蚁剑)等程序均采用该框架开发。

说到Electron框架的漏洞,在2018年就集中爆发了5个,有三个算是高危漏洞,其中CVE-2018-1000006是可由XSS触发RCE的经典漏洞,CVE-2018-1000136是Webview组件nodeIntegration开启的RCE漏洞,以及Electron的WebPreferences配置导致的CVE-2018-15685 RCE漏洞。本节视频,作者通过利用nodeIntegration功能属性,结合XSS和message共享消息机制,共同实现了对Electron框架的RCE执行,作者也未透露是否上报漏洞与否。该课程着重对漏洞利用逻辑的描述,并未给出具体的构造和漏洞触发细节,也有网友要求其放出漏洞exploit和相关资料,但在后期Electron框架对nodeIntegration功能属性进行了更新,所以,目前还不知道该漏洞是否可行。

观看视频

看不到视频 点这里

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

*本文作者:willhuang,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

C专家编程

C专家编程

Peter Van Der Linden / 徐波 / 人民邮电出版社 / 2008-2 / 45.00元

《C专家编程》展示了最优秀的C程序员所使用的编码技巧,并专门开辟了一章对C++的基础知识进行了介绍。 书中C的历史、语言特性、声明、数组、指针、链接、运行时、内存以及如何进一步学习C++等问题进行了细致的讲解和深入的分析。全书撷取几十个实例进行讲解,对C程序员具有非常高的实用价值。 本书可以帮助有一定经验的C程序员成为C编程方面的专家,对于具备相当的C语言基础的程序员,本书可以帮助他们......一起来看看 《C专家编程》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试