simonbaker

摘要： Cofense 检测到一种成功将凭证网络钓鱼页面传送到用户收件箱的新技术：blob URI。Blob URI 由浏览器生成，用于显示和处理只有该浏览器才能访问的临时数据。 攻击流程图 似乎有多个活动使用 blob URI 进行凭据网络钓鱼。用于登录的活动诱饵，比如接收加密消息等。 通常，使用 blo 阅读全文

摘要： dvwa是什么？ dvwa全称是Damn Vulnerable Web Application，自己翻译吧。 它是一款非常实用的Web应用安全学习和测试平台。 那我就在linux上安装下看看。 对了，我这里的linux是centos 7。 首先，dvwa需要什么？ 1、数据库：mysql 2、web 阅读全文

摘要： 背景： 有另一个项目，扫描后也出现了yargs-parser@11.1.1漏洞。 是不是可以按照之前文章的方法来解决？ package.json依赖包漏洞之yargs-Parser输入验证错误漏洞 第一步： 是查看是否存在漏洞的版本和依赖树结构。 执行命令：npm ls yargs-parser@1 阅读全文

摘要： 背景 项目需要接入cdn加速域名，但只能在生产环境验证。 所以发版之前本地先准备好cdn的包，然后发版的时候部署到生产环境， 结果发现，点击菜单后页面的URL不对了，静态资源加载是可以的。 本来页面URL是这样的：test.com/app/xpg/ind… 但点击菜单后，把cdn的域名加上去了：te 阅读全文

摘要： 原型链污染漏洞CVE： 1、yargs-Parser 输入验证错误漏洞(CVE-2020-7608) 2、tough-cookie 安全漏洞(CVE-2023-26136) 3、JSON5 原型污染漏洞(CVE-2022-46175) 漏洞描述： 1、yargs-Parser 输入验证错误漏洞(CV 阅读全文

摘要： 背景 有个安全扫描的流水线，扫描了负责的项目之后，发现一些漏洞。 需要说明的是，这个扫描只是针对package.json文件，扫的是依赖树，而不是项目源代码，也不是打包后的代码。 但既然是漏洞，都是可以好好学习下的。 nodejs-glob-parent正则表达式拒绝服务漏洞(CVE-2020-28 阅读全文

摘要： 背景 有个安全扫描的流水线，扫描了我负责的项目之后，发现一些漏洞。 需要说明的是，这个扫描只是针对package.json文件，扫的是依赖树，而不是项目源代码，也不是build打包后的代码。 这些正是我们提升项目安全性的宝贵机会。让我们一起来看看这些发现，并学习如何将它们转化为我们的优势。 toug 阅读全文

摘要： 背景 有个安全扫描的流水线，扫描了负责的项目之后，发现一些漏洞。 需要说明的是，这个扫描只是针对package.json文件。 扫的是依赖树，而不是项目源代码，也不是打包后的代码。 但既然是漏洞，都是可以好好学习下的。 yargs-Parser输入验证错误漏洞(CVE-2020-7608) 被扫描出 阅读全文

摘要： 一、程序员职业的四大象限： 详情请查看： 《程序员必读的职业规划书》读后感 阅读全文

摘要： window.open是javascript中的一个方法，用于在新的浏览器窗口或标签页中打开指定的URL。然而，如果不正确地使用，它可能会引入安全漏洞。 一、window.open漏洞Demo Demo是一个简单的html，点击button，然后通过window.open打开另一个地址，比如百度首页 阅读全文