最新文章
Top News
维基百科遭自传播 JavaScript 蠕虫攻击,大量页面被篡改
HackerNews 编译,转载请注明出处: 维基媒体基金会今日遭遇安全事件,一款自传播 JavaScript 蠕虫篡改用户脚本并破坏 Meta-Wiki 页面。 维基编辑首先在 “村舍水泵(技术版)” 板块上报该事件,用户发现大量自动化编辑行为向随机页面植入隐藏脚本并实施破坏。...
伪造的 Next.js 求职面试测试项目 在开发者设备安装后门
HackerNews 编译,转载请注明出处: 一场以求职为诱饵针对软件开发人员的协同攻击活动,正利用伪装成合法 Next.js 项目和技术评估材料(包括招聘编码测试)的恶意代码仓库实施攻击。 攻击者的目标是在开发者设备上实现远程代码执行(RCE)、窃取敏感数据,并在受入侵系统中植入额外的有效载荷。
多重执行触发机制
Next.js 是一款用于构建 Web 应用的热门 JavaScript 框架,它基于 React 运行,并使用 Node.js 作为后端。...
3500 个网站遭劫持!黑客利用隐匿 JS 与 WebSocket 手段暗中挖掘加密货币
HackerNews 编译,转载请注明出处: 一场新的攻击活动已侵入了全球超过 3500 个网站,植入了 JavaScript 加密货币挖矿程序,标志着曾由 CoinHive 等推动的基于浏览器的加密劫持攻击卷土重来。 虽然此类服务在浏览器制造商采取措施禁止挖矿相关应用和插件后已关闭,但 c/side 的研究人员表示,他们在混淆过的 JavaScript 中发现了隐形挖矿程序的证据。该程序会评估设备的计算能力,并生成后台 Web Worker 线程来并行执行挖矿任务,且不引发任何警报。...
超 26.9 万个网站一个月内感染 JavaScript 恶意代码
HackerNews 编译,转载请注明出处: 网络安全研究人员披露了一个在合法网站上注入恶意 JavaScript 的大规模攻击活动。 据 Palo Alto Networks Unit 42 报告,这些恶意注入代码使用 JSFuck 进行混淆。JSFuck 指的是一种“深奥且具有教育意义的编程风格”,它仅使用有限的字符集来编写和执行代码。...
超过 1000 个 WordPress 网站被感染 JavaScript 后门,使攻击者能够持续访问
HackerNews 编译,转载请注明出处: 据 researchers 发现,超过1000个WordPress网站被感染,这些网站中被注入了第三方 JavaScript 代码,从而产生了四个独立的后门,使攻击者能够持续访问受害网站。 “创建四个后门使攻击者在其中一个被发现并移除时,仍然可以通过其他入口重新进入目标系统。”c/side的研究员Himanshu Anand在周三的分析中表示。...
JS 框架安全报告:jQuery 下载次数超过 1.2 亿次
尽管 JavaScript 库 jQuery 仍被使用,但它已不再像以前那样流行。根据开源安全平台 Snyk 统计,目前至少十分之六的网站受到 jQuery XSS 漏洞的影响,甚至用于扩展 jQuery 功能的 jQuery 库还引入了更多的安全问题。 Snyk 发布了 2019 年 JavaScript 框架的状态安全报告,该报告主要是对两个领先的 JavaScript 框架(Angular 和 React)进行安全审查,但同时还调查了其他三个前端 JavaScript 生态系统项目的安全漏洞:Vue....
黑客向热门 JavaScript 库注入恶意代码 窃取 Copay 钱包的比特币
尽管上周已经发现了恶意代码的存在,但直到今天安全专家才理清这个严重混乱的恶意代码,了解它真正的意图是什么。黑客利用该恶意代码获得(合法)访问热门JavaScript库,通过注射恶意代码从BitPay的Copay钱包应用中窃取比特币和比特币现金。 这个可以加载恶意程序的JavaScrip库叫做Event-Stream,非常受者欢迎,在npm.org存储库上每周下载量超过200万。但在三个月前,由于缺乏时间和兴趣原作者将开发和维护工作交给另一位程序员Right9ctrl。Event-Stream,是一个用于处理Node....
谷歌安全功能:关闭浏览器 JavaScript 将无法登陆谷歌
讯 北京时间11月1日上午消息,谷歌今日推出了4个新的安全性功能,旨在提升谷歌帐号的安全程度。这4个更新是提升用户登陆谷歌帐号前后的受保护程度,另外这些更新也适用于用户受到黑客攻击后对帐号进行回复的情况。 谷歌表示,它们推出的第一个安全性功能可以在用户输入用户名和密码之前就对用户的帐号安全加强防护。未来,如果用户在浏览器中关闭JavaScript功能,谷歌将不再允许这些用户进行登录。谷歌会使用JavaScript在用户的登录页面上进行风险分析,如果JavaScript被禁用,会导致入侵者绕过风险分析。...
GitHub 安全警告计划已检测出 400 多万个漏洞
Github 去年推出的安全警告,极大减少了开发人员消除 Ruby 和 JavaScript 项目漏洞的时间。GitHub 安全警告服务,可以搜索依赖寻找已知漏洞然后通过开发者,以便帮助开发者尽可能快的打上补丁修复漏洞,消除有漏洞的依赖或者转到安全版本。 根据 Github 的说法,目前安全警告已经报告了 50 多万个库中的 400 多万个漏洞。在所有显示的警告中,有将近一半的在一周之内得到了响应,前7天的漏洞解决率大约为 30%。实际上,情况可能更好,因为当把统计限制在最近有贡献的库时,也就是说过去 90 天中有贡献的库,...
Chrome 扩展程序可防止基于 JavaScript 的 CPU 旁路攻击
据外媒报道,某学术团队创建了一个名为 Chrome Zero 的 Chrome 扩展程序,据称可阻止使用 JavaScript 代码从计算机中的 RAM 或 CPU 泄露数据的旁路攻击。目前该扩展程序仅在 GitHub 上提供,并且不能通过 Chrome 官方网上商店下载。 安全专家表示,目前有 11 种最先进的旁路攻击可以通过在浏览器中运行的 JavaScript 代码执行。
根据对这些先进的旁路攻击进行研究之后,研究人员确定了 JavaScript 旁路攻击试图利用的 5 种主要数据/特性:JS 可恢复的内存地址、精确的时间信息、浏览器的多线程支持、JS 代码线程共...