您地点的方位:主页 > 手游188bet官网 > 某188betwww.188bet.com188bet官网被曝188bet.com,黑客可轻松侵略底层操作体系

某188betwww.188bet.com188bet官网被曝188bet.com,黑客可轻松侵略底层操作体系

某188betwww.188bet.com188bet官网被曝188bet.com,黑客可轻松侵略底层操作体系

同类排行
  • 本月
  • 本周

介绍

    近来,Canthink网络安全攻防实验室发现了Electronsoftware framework(软件www.188bet.com)中存在的一个安全188bet.com,它在曩昔的五年中被用于构建很多盛行的桌面运用程序。

 

据了解,建构在Electron之上的运用程序包含Microsoft的Skype和Visual Studio Code,GitHub的Atom代码编辑器,Brave浏览器以及用于Signal、Twitch、Discord、Basecamp、Slack、Ghost及WordPress.com等服务的官方桌面运用程序。

该结构在当今的软件开发社区中十分盛行,它答应开发人员轻松移植在HTML、JS和CSS中编码的根据Web的运用程序以在桌面上运转。Electron软件结构是一个封装在Node.js服务器端JavaScript服务器周围的自定义API。

在构建根据Electron的运用程序时,开发人员能够挑选运用大部分Electron API的有限环境,但也能够运用Node.js API及其模块。由于Node.js项目是一个更老练的项目,因而Node的API和内置模块供给了与底层操作体系的更深层次的集成,并答应开发人员和运用程序拜访更多的操作体系功用。

Electron团队意识到这个问题,并创立了一种机制,能够避免进犯根据Electron的运用程序进犯这些API以危害底层操作体系。

 

 

 

关于只想在桌面上运转HTML和JS代码的运用程序,默许情况下会翻开“nodeIntegration:false”选项,即制止拜访Node.js API和模块。在Electron运用程序中嵌入这些朴实的根据Web的运用程序,是经过名为WebView的组件完结的。

一切根据Electron的运用程序都能够在webPreferences装备文件中运用。假如在此装备中将webviewTag设置为false,则nodeIngration也会设置为false。假如开发者底子没有声明webviewTag,那么运用程序以为nodeIntegration依然设置为false。

而这就是问题地点,Canthink研究员发现了一种机制,歹意行为者能够运用这种机制将nodeIntegration选项设置为“true”,并颁发他们拜访功用更强壮的Node.js API和模块的权限。

假如根据Electron的运用程序开发人员没有在运用程序的webPreferences装备文件中专门声明“webviewTag:false”选项,则进犯者能够运用Electron运用程序内部的任何尘俗跨站脚本进犯(XSS)188bet.com来创立一个新的WebView组件窗口,用于操控设置,并能够将nodeIngration标志设置为“true”。

 

但应留意,根据电子的运用程序是打包的HTML和JS代码,这意味着找到一个运用这个188bet.com的XSS运用程序并不像听起来那么困难,由于大多数Web运用程序都有这种过错。

对此,Canthink研究员发布了概念验证代码,可使进犯者运用任何XSS188bet.com并将其拜访扩展到底层操作体系,“只需运用程序运用易受进犯的Electron版别(版别<1.7.13,<1.8.4或<2.0.0-beta.3),就能够答应长途履行代码。”

还不清楚有多少Electron运用程序简单受到此188bet.com的影响,以及哪些补丁现已集成,目前此188bet.com已收到CVE-2018-1000136的CVE标识符。

mask

Copyright © 2010- 188bet(www.dongdongwg.com).All Rights Reserved

苏ICP备12005618号 Email:dongdongsoft#qq.com(#换成@)

[quote] [size=4][b][url=http://www.vutj1xhe.com/shoujiyouxi/28771.html]某188betwww.188bet.com188bet官网被曝188bet.com,黑客可轻松侵略底层操作体系[/url][/b][/size]
[b]软件巨细:[/b] 不知道
[b]软件类别:[/b] 手游188bet官网
[b]运用渠道:[/b] WinXP,Win7,Win8,WinAll
[b]更新时刻:[/b] 2018-05-14
[b]软件言语:[/b] 简体中文
[b]软件性质:[/b] 免费软件


[b]软件简介:[/b]

    近来,Canthink网络安全攻防实验室发现了Electronsoftware framework(软件www.188bet.com)中存在的一个安全188bet.com,它在曩昔的五年中被用于构建很多盛行的桌面运用程序。

 

据了解,建构在Electron之上的运用程序包含Microsoft的Skype和Visual Studio Code,GitHub的Atom代码编辑器,Brave浏览器以及用于Signal、Twitch、Discord、Basecamp、Slack、Ghost及WordPress.com等服务的官方桌面运用程序。

该结构在当今的软件开发社区中十分盛行,它答应开发人员轻松移植在HTML、JS和CSS中编码的根据Web的运用程序以在桌面上运转。Electron软件结构是一个封装在Node.js服务器端JavaScript服务器周围的自定义API。

在构建根据Electron的运用程序时,开发人员能够挑选运用大部分Electron API的有限环境,但也能够运用Node.js API及其模块。由于Node.js项目是一个更老练的项目,因而Node的API和内置模块供给了与底层操作体系的更深层次的集成,并答应开发人员和运用程序拜访更多的操作体系功用。

Electron团队意识到这个问题,并创立了一种机制,能够避免进犯根据Electron的运用程序进犯这些API以危害底层操作体系。

 

 

 

关于只想在桌面上运转HTML和JS代码的运用程序,默许情况下会翻开“nodeIntegration:false”选项,即制止拜访Node.js API和模块。在Electron运用程序中嵌入这些朴实的根据Web的运用程序,是经过名为WebView的组件完结的。

一切根据Electron的运用程序都能够在webPreferences装备文件中运用。假如在此装备中将webviewTag设置为false,则nodeIngration也会设置为false。假如开发者底子没有声明webviewTag,那么运用程序以为nodeIntegration依然设置为false。

而这就是问题地点,Canthink研究员发现了一种机制,歹意行为者能够运用这种机制将nodeIntegration选项设置为“true”,并颁发他们拜访功用更强壮的Node.js API和模块的权限。

假如根据Electron的运用程序开发人员没有在运用程序的webPreferences装备文件中专门声明“webviewTag:false”选项,则进犯者能够运用Electron运用程序内部的任何尘俗跨站脚本进犯(XSS)188bet.com来创立一个新的WebView组件窗口,用于操控设置,并能够将nodeIngration标志设置为“true”。

 

但应留意,根据电子的运用程序是打包的HTML和JS代码,这意味着找到一个运用这个188bet.com的XSS运用程序并不像听起来那么困难,由于大多数Web运用程序都有这种过错。

对此,Canthink研究员发布了概念验证代码,可使进犯者运用任何XSS188bet.com并将其拜访扩展到底层操作体系,“只需运用程序运用易受进犯的Electron版别(版别<1.7.13,<1.8.4或<2.0.0-beta.3),就能够答应长途履行代码。”

还不清楚有多少Electron运用程序简单受到此188bet.com的影响,以及哪些补丁现已集成,目前此188bet.com已收到CVE-2018-1000136的CVE标识符。


[url=http://www.vutj1xhe.com/shoujiyouxi/28771.html]进入下载[/url] [/quote]