Electron是GitHub開發(fā)且基于Chromium和Node.js的開源框架�,它使用java script、HTML和CSS構建跨平臺桌面應用���,以Chromium為前端顯示��,以Node.js為后端支撐���。近年來Electron的應用非常廣泛���,像Skype、Brave���、Signal�����、Slack�����、Basecamp����、WordPress.com��、Twitch���、Ghost和AntSword(蟻劍)等程序均采用該框架開發(fā)�����。
說到Electron框架的漏洞�,在2018年就集中爆發(fā)了5個,有三個算是高危漏洞���,其中CVE-2018-1000006是可由XSS觸發(fā)RCE的經典漏洞�,CVE-2018-1000136是Webview組件nodeIntegration開啟的RCE漏洞����,以及Electron的WebPreferences配置導致的CVE-2018-15685 RCE漏洞。本節(jié)視頻���,作者通過利用nodeIntegration功能屬性,結合XSS和message共享消息機制����,共同實現(xiàn)了對Electron框架的RCE執(zhí)行,作者也未透露是否上報漏洞與否�����。該課程著重對漏洞利用邏輯的描述��,并未給出具體的構造和漏洞觸發(fā)細節(jié),也有網(wǎng)友要求其放出漏洞exploit和相關資料��,但在后期Electron框架對nodeIntegration功能屬性進行了更新�����,所以�,目前還不知道該漏洞是否可行。
視頻地址:https://v.qq.com/x/page/g0893i9o1jx.html
轉自FreeBuf.COM
經營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
