Electron 曝 XSS 漏洞，Atom、VS Code 等受影响

IT资讯 · haywood · 2018-05-16 09:50:03 · 来源: 网络

近日，Trustwave 公布了 Electron 上一个可引发跨站脚本攻击的漏洞 CVE-2018-1000136，包括 Atom 与 VS Code 在内的众多主流应用受到影响。

Electron 本质上是一个 Web 应用程序，这意味着它也需要正确过滤用户的输入，否则很容易受到跨站脚本攻击。据分析，通过将 nodeIntegration 设置成 true，Electron 不仅可以访问自己的 API，还可以访问到其它内置 Node.js 模块，在 WebView 标签和 window.open() 函数的默认作用下，使得攻击者可以执行一些危害操作，例如在 child_process 模块中发起请求，从而在客户端执行系统命令。

Electron 是一个流行的开发框架，它允许开发者使用 HTML 、CSS 和 JavaScript 创建跨平台的桌面应用程序。一些流行的应用程序，如 Slack、Discord、Signal、Atom、Visual Studio Code 和 Github Desktop 都是使用 Electron 框架构建的，这使得此次漏洞影响较为广泛，但是目前该漏洞补丁已经发布，只要过去几周内进行过升级，那么大多数应用都不会受到影响。点击了解详情。

【声明】文章转载自：开源中国社区 [http://www.oschina.net]

以上所述就是小编给大家介绍的《Electron 曝 XSS 漏洞，Atom、VS Code 等受影响》，希望对大家有所帮助，如果大家有任何疑问请给我留言，小编会及时回复大家的。在此也非常感谢大家对码农网的支持！

为你推荐:

相关软件推荐:

查看所有标签

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。

热门标签

nginx 漏洞 nginx漏洞 electron xss nginx最新漏洞 atom nginx漏洞利用文件上传漏洞 atom-haskell atom-liveserver xss-prevention atom-feed intel-atom electron-builder electron-forge electron-packager particle-electron electron-window erlang atom atom-server atom-runner atom-editor atom-beautify atom-php vs-macros vs-error vs-extensibility vs-android vs-lightswitch vs-everywhere sonarlint-vs vs-devserver 响应式 css3 阴影 css3阴影 css3 投影 php电影 php影视影视php trusted-vs-untrusted qt-vs-addin vs-community-edition struct-vs-class vs-app-center vs-team-services vs-2015-preview vs-2013-preview vs-mobile-center code-statistics code-complexity

码农书籍

Web应用漏洞侦测与防御

Mike Shema / 齐宁、庞建民、张铮、单征 / 机械工业出版社 / 2014-8-20 / 69.00

本书由国际知名网络安全专家亲笔撰写，全面讲解如何预防常见的网络攻击，包括HTML注入及跨站脚本攻击、跨站请求伪造攻击、SQL注入攻击及数据存储操纵、攻破身份认证模式、利用设计缺陷、利用平台弱点、攻击浏览器和隐私等，全书共8章：第1章介绍HTML5的新增特性及使用和滥用HTML5的安全考虑；第2章展示了如何只通过浏览器和最基本的HTML知识就可以利用Web中最常见的漏洞；第3章详细讲解CSR......一起来看看《Web应用漏洞侦测与防御》这本书的介绍吧!

码农工具