simonbaker

KOI的一篇文章，揭露了npm依赖包又一次被攻击的问题。详情可查看底部的原文地址。 之前的npm可看这里《你的项目是否正在使用“带毒”的chalk npm包？》。 这里简单...

讲到一个“非breaking空格”的概念，这个是可以通过代码验证的。 具体如下代码所示： 需要注意的是，这里是通...

问题背景 有个新环境需要配置host来访问，同事群里发了host配置信息，我拷贝了下，然后粘贴到本地host文件。 因为我是通过nodepad打开的host文件，按照以往的...

继续讲讲CSRF攻击相关的CORS问题。 因为CSRF的核心是利用cookie（登录态），而不是为了获取cookie。上一篇文章主要讲的是什么情况下才会带上cookie。 ...

背景是这样的： 同事问我：CSRF攻击是什么？是不是要先获取cookie才能发起攻击？ 我说：不用的，CSRF是利用浏览器的同源策略，是在用户登录后网站A后，再访问攻击网站...

问题背景： 我在优化整理项目代码的时候，发现项目中有通过<svg-icon name="xxx"></svg-icon>方式引用的svg图标，也有通过iconfont<i ...

之前遇到过base64后报错了，然后通过encodeURIComponent先编码，然后再base64就解决了，具体可以再看看之前的文章：前端base64遇到的坑：wind...

问题是这样的： 同事在使用的过程中发现一个问题： 点击确定按钮后，有个报错提示。 如下截图所示： 报错文本是： invalidcharactererror failed t...

从第一篇你的隐私可能在网上“裸奔”？中，我们知道了中间人攻击无处不在，数据泄露太容易了，风险不可忽视。 比如一些城际穿梭的大巴公众号，买票的时候都要填写乘车人信息（姓名、身...

问题： 大家习以为常的，可能忽略了数据隐私安全问题。 比如平时出门在外，蹭个咖啡厅或者餐馆的wifi，如果这些wifi没做好安全防火，实际上是存在很大安全问题的。 最简单的...

通过上一篇文章Cofense披露新型钓鱼攻击手法：利用 Blob URI 绕过 SEG，大概知道Blob URL的钓鱼攻击手法了。 下面再看个Demo，深入了解下攻击原理。...

Cofense 检测到一种成功将凭证网络钓鱼页面传送到用户收件箱的新技术：blob URI。Blob URI 由浏览器生成，用于显示和处理只有该浏览器才能访问的临时数据。 ...

dvwa是什么？ dvwa全称是Damn Vulnerable Web Application，自己翻译吧。 它是一款非常实用的Web应用安全学习和测试平台。 那我就在li...

背景： 有另一个项目，扫描后也出现了yargs-parser@11.1.1漏洞。 是不是可以按照之前文章的方法来解决？《package.json依赖包漏洞之yargs-Pa...

背景 项目需要接入cdn加速域名，但只能在生产环境验证。 所以发版之前本地先准备好cdn的包，然后发版的时候部署到生产环境， 结果发现，点击菜单后页面的URL不对了，静态资...

原型链污染漏洞CVE： 1、yargs-Parser 输入验证错误漏洞(CVE-2020-7608) 2、tough-cookie 安全漏洞(CVE-2023-26136)...

package.json依赖包漏洞之nodejs-glob-parent正则表达式拒绝服务漏洞 CVE-2020-28469漏洞的详情如下： nodejs是一个基于Chro...

需要说明的是，这个扫描只是针对package.json文件，扫的是依赖树，而不是项目源代码，也不是build打包后的代码。package.json依赖包漏洞之tough-c...

背景 有个安全扫描的流水线，扫描了负责的项目之后，发现一些漏洞。 需要说明的是，这个扫描只是针对package.json文件。 扫的是依赖树，而不是项目源代码，也不是打包后...