该文被密码保护。 阅读全文
posted @ 2016-04-25 22:56 simonbaker 阅读(19) 评论(0) 推荐(0) 编辑
摘要: 背景: 有另一个项目,扫描后也出现了yargs-parser@11.1.1漏洞。 是不是可以按照之前文章的方法来解决? package.json依赖包漏洞之yargs-Parser输入验证错误漏洞 第一步: 是查看是否存在漏洞的版本和依赖树结构。 执行命令:npm ls yargs-parser@1 阅读全文
posted @ 2024-12-05 09:00 simonbaker 阅读(3) 评论(0) 推荐(0) 编辑
摘要: 背景 项目需要接入cdn加速域名,但只能在生产环境验证。 所以发版之前本地先准备好cdn的包,然后发版的时候部署到生产环境, 结果发现,点击菜单后页面的URL不对了,静态资源加载是可以的。 本来页面URL是这样的:test.com/app/xpg/ind… 但点击菜单后,把cdn的域名加上去了:te 阅读全文
posted @ 2024-11-04 23:46 simonbaker 阅读(6) 评论(0) 推荐(0) 编辑
摘要: 原型链污染漏洞CVE: 1、yargs-Parser 输入验证错误漏洞(CVE-2020-7608) 2、tough-cookie 安全漏洞(CVE-2023-26136) 3、JSON5 原型污染漏洞(CVE-2022-46175) 漏洞描述: 1、yargs-Parser 输入验证错误漏洞(CV 阅读全文
posted @ 2024-10-12 14:19 simonbaker 阅读(44) 评论(0) 推荐(0) 编辑
摘要: 背景 有个安全扫描的流水线,扫描了负责的项目之后,发现一些漏洞。 需要说明的是,这个扫描只是针对package.json文件,扫的是依赖树,而不是项目源代码,也不是打包后的代码。 但既然是漏洞,都是可以好好学习下的。 nodejs-glob-parent正则表达式拒绝服务漏洞(CVE-2020-28 阅读全文
posted @ 2024-09-26 20:08 simonbaker 阅读(9) 评论(0) 推荐(0) 编辑
摘要: 背景 有个安全扫描的流水线,扫描了我负责的项目之后,发现一些漏洞。 需要说明的是,这个扫描只是针对package.json文件,扫的是依赖树,而不是项目源代码,也不是build打包后的代码。 这些正是我们提升项目安全性的宝贵机会。让我们一起来看看这些发现,并学习如何将它们转化为我们的优势。 toug 阅读全文
posted @ 2024-09-14 09:26 simonbaker 阅读(41) 评论(0) 推荐(0) 编辑
摘要: 背景 有个安全扫描的流水线,扫描了负责的项目之后,发现一些漏洞。 需要说明的是,这个扫描只是针对package.json文件。 扫的是依赖树,而不是项目源代码,也不是打包后的代码。 但既然是漏洞,都是可以好好学习下的。 yargs-Parser输入验证错误漏洞(CVE-2020-7608) 被扫描出 阅读全文
posted @ 2024-09-14 09:24 simonbaker 阅读(21) 评论(0) 推荐(0) 编辑
摘要: 一、程序员职业的四大象限: 详情请查看: 《程序员必读的职业规划书》读后感 阅读全文
posted @ 2024-02-27 19:44 simonbaker 阅读(3) 评论(0) 推荐(0) 编辑
摘要: window.open是javascript中的一个方法,用于在新的浏览器窗口或标签页中打开指定的URL。然而,如果不正确地使用,它可能会引入安全漏洞。 一、window.open漏洞Demo Demo是一个简单的html,点击button,然后通过window.open打开另一个地址,比如百度首页 阅读全文
posted @ 2024-02-20 14:13 simonbaker 阅读(187) 评论(0) 推荐(0) 编辑
摘要: DOMPurify是什么? DOMPurify是一个针对DOM的XSS清理器。 DOMPurify有什么作用? DOMPurify可以清理HTML并防止XSS攻击。 你可以用有恶意代码的HTML字符串来测试DOMPurify,它将返回一个带有干净的HTML字符串。 DOMPurify将去除所有包含危 阅读全文
posted @ 2024-01-17 15:37 simonbaker 阅读(1486) 评论(0) 推荐(0) 编辑
摘要: 问题 有一个需求: 需要前端从接口返回的版本号列表中,找出最大的版本号。 比如接口返回的版本列表是: ['6.11', '6.11.03', '6.11.03', '6.11.06', '6.11.05', '6.11.07', '6.11.09', '6.12', '6.11.12'], 那前端找 阅读全文
posted @ 2023-12-25 10:41 simonbaker 阅读(28) 评论(0) 推荐(0) 编辑