Web安全漏洞之Electron框架漏洞

<返回列表

Electron是GitHub开发且基于Chromium和Node.js的开源框架,它使用java script、HTML和CSS构建跨平台桌面应用,以Chromium为前端显示,以Node.js为后端支撑。近年来Electron的应用非常广泛,像Skype、Brave、Signal、Slack、Basecamp、WordPress.com、Twitch、Ghost和AntSword(蚁剑)等程序均采用该框架开发。

说到Electron框架的漏洞,在2018年就集中爆发了5个,有三个算是高危漏洞,其中CVE-2018-1000006是可由XSS触发RCE的经典漏洞,CVE-2018-1000136是Webview组件nodeIntegration开启的RCE漏洞,以及Electron的WebPreferences配置导致的CVE-2018-15685 RCE漏洞。本节视频,作者通过利用nodeIntegration功能属性,结合XSS和message共享消息机制,共同实现了对Electron框架的RCE执行,作者也未透露是否上报漏洞与否。该课程着重对漏洞利用逻辑的描述,并未给出具体的构造和漏洞触发细节,也有网友要求其放出漏洞exploit和相关资料,但在后期Electron框架对nodeIntegration功能属性进行了更新,所以,目前还不知道该漏洞是否可行。

视频地址:https://v.qq.com/x/page/g0893i9o1jx.html

转自FreeBuf.COM

国内免备案VPS301跳转服务器国内免备案服务器域名被墙跳转301,绕过信息安全中心不能放违反法律法规内容!(北京免备案  镇江免备案 江苏免备案 辽宁免备案vps 山东联通免备案) 
分享新闻到:

更多帮助

Web安全漏洞之Electron框架漏洞

新闻中心 2022-12-21
Electron是GitHub开发且基于Chromium和Node.js的开源框架,它使用java script、HTML和CSS构建跨平台桌面应...
查看全文

伪装成补丁安装程序的下载器木马病毒预

新闻中心 2022-12-21
事件描述 近日,亚信安全截获一款伪装成补丁安装程序的下载器木马病毒,该病毒运行后会弹...
查看全文

CNNVD-201906-1049关于致远OA远程代码执行漏洞

新闻中心 2022-12-20
     近日,国家信息安全漏洞库(CNNVD)收到关于致远OA远程代码执行漏洞(CNNVD-201906-1049)的...
查看全文