Electron WebPreferences 远程命令执行漏洞(CVE-2018-15685)

最新推荐文章于 2024-06-20 14:33:06 发布
最新推荐文章于 2024-06-20 14:33:06 发布
阅读量1.2k 收藏
点赞数
分类专栏: vulhub漏洞复现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EC_Carrot/article/details/117438859
版权

漏洞背景

GitHub Electron是美国GitHub公司的一个应用程序开发框架。该框架支持使用JavaScript、HTML和CSS编写跨平台桌面应用程序。 GitHub Electron中存在安全漏洞。远程攻击者可利用该漏洞执行代码。以下版本受到影响:GitHub Electron 1.7.15版本,1.8.7版本,2.0.7版本,3.0.0-beta.6版本。
Electron在设置了nodeIntegration=false的情况下(默认),页面中的JavaScript无法访问node.js的内置库。CVE-2018-15685绕过了该限制,导致在用户可执行JavaScript的情况下(如访问第三方页面或APP存在XSS漏洞时),能够执行任意命令。

漏洞详细

直接看这个来的快:https://github.com/vulhub/vulhub/blob/master/electron/CVE-2018-15685/README.zh-cn.md
说实话我看不懂

小 白 萝 卜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
利用Vulnhub复现漏洞 - Electron WebPreferences 远程命令执行漏洞CVE-2018-15685
JiangBuLiu的博客
07-03 1081
Electron WebPreferences 远程命令执行漏洞CVE-2018-15685)Vulnhub官方复现教程漏洞原理复现漏洞启动环境漏洞复现 Vulnhub官方复现教程 https://github.com/vulhub/vulhub/blob/master/electron/CVE-2018-15685/README.zh-cn.md 漏洞原理 Electron是由Github开发...
CVE-2018-1000006-DEMO:CVE-2018-1000006的演示
04-26
CVE-2018-1000006-DEMO The Demo for CVE-2018-1000006 Analysis POC 可以直接使用 elec_rce\elec_rce-win32-x64\elec_rce.exe 也可以自己打包成exe应用,生成有漏洞的版本应用,以版本1.7.8为例: electron-packager...
Electron 开发页面应用
coding...
11-08 757
Electron集成了包括chromium(理解为具备chrom浏览器的工具),nodejs,native apischromium:支持最新特性的浏览器。nodejs:js运行时,可实现文件读写等。native apis :提供统一的原生界面能力。直接与操作系统通信。例如:系统通知,快捷键等。底层硬件的参数等。
Electron攻击面分析
最新发布
2401_85026643的博客
06-20 890
在今年Blackhat的会议上,安全研究员Aaditya Purani和Max GarreG分享了议题《Pwning Popular Desktop apps while uncovering new attack surface on Electron》, 分享了几个Electron利用的新方法和他们挖到几个Electron应用的漏洞案例。Electron是一个桌面应用程序的框架,极大的方便了跨平台应用的开发。Chromium和Node JS是Electron的重要组成部分。
electron框架学习笔记之 new BrowserWindow({webPreferences:{nodeIntegration:true}})的意义
zy103118的博客
06-07 2483
electron
Electron常用api之webview
duansamve的博客
09-03 2936
webview作用上类似于HTML里的iframe标签,但跑在独立进程中,主要出于安全性考虑......
Web项目转换为Electron桌面应用程序
yuesongblog的专栏
03-13 917
确保你已经在系统中安装了Node.js和npm(Node.js包管理器)。在VS Code中选择一个合适的文件夹,并在其中创建一个新的文件夹来存放你的Electron项目。这将启动Electron应用程序,并在Electron窗口中显示你在。在Electron项目中创建一个electron-builder。将打包后的文件拷贝到Electron项目文件夹的dist下。在项目文件夹中创建一个Electron的入口文件,例如。这将在你的项目中安装Electron并将其添加到。在Electron项目中创建一个。
electron插件:electron-v20.1.1-win32-zip下载
09-14
标题中的“electron-v20.1.1-win32-zip下载”指的是Electron框架的一个特定版本(v20.1.1)的Windows平台压缩包。Electron是一款开源的框架,它允许开发者使用JavaScript、HTML和CSS构建跨平台的桌面应用程序。这个...
Electron项目中通过electron-vue + electron-builder + electron-updater实现远程更新(包含源码)
04-01
本项目利用`electron-vue`、`electron-builder`和`electron-updater`这三款强大的工具,实现了一个完整的远程更新流程,包括检查更新、下载更新以及自动安装更新。以下将详细介绍这三个组件的功能和实现方式。 **1....
electron-v2.0.18-win32-x64.zip
07-26
标题中的"electron-v2.0.18-win32-x64.zip"是一个Electron框架的特定版本(v2.0.18)的Windows 64位发行版压缩包。Electron是一个开源的框架,它允许开发人员使用JavaScript、HTML和CSS构建跨平台的桌面应用程序。这...
electron-v28.1.0-win32-x64
12-25
标题 "electron-v28.1.0-win32-x64" 暗示这是一个针对Windows操作系统(x64架构)的Electron框架的特定版本,版本号为28.1.0。Electron是一个开源的框架,它允许开发者使用JavaScript、HTML和CSS构建跨平台的桌面...
Electron:和webpack融合
郭宇的博客
01-07 3181
Electron工程化和Webpack结合,遇到的若干问题及解决方案
Electron快速入门
路漫漫其修远兮,吾将上下而求索
06-29 3406
Electron是由GitHub众多开发者开发的一个开源项目,能够使用 JavaScript,HTML 和 CSS 构建跨平台的桌面应用程序。当然了,它也可以与vue和react相结合。前端的小伙伴们,学习它应该很快,是很容易上手的一门技术。文档编写不易,还请各位耐心观看。另外本人能力有限,如有不足之处,还请不吝批评指正!Electron 运行的main脚本的进程被称为主进程。在主进程中运行的脚本通过创建web页面来展示用户界面。一个 Electron 应用总是有且只有一个主进程。
eletron打包web项目教程(将react打包成桌面端应用程序)
ZHU18670324781的博客
08-15 1238
electron打包web项目教程(将react打包成桌面端应用程序)
Electron使用preload预加载及安全策略
qq_30386941的博客
10-27 9229
使用 Electron 很重要的一点是要理解 Electron 不是一个 Web 浏览器。它允许您使用熟悉的 Web 技术构建功能丰富的桌面应用程序,但是您的代码具有更强大的功能。JavaScript 可以访问文件系统,用户 shell 等。这允许您构建更高质量的本机应用程序,但是内在的安全风险会随着授予您的代码的额外权力而增加。
electron v12.0.1 后一些配置的变化
baeeqregist的博客
05-29 623
设置权限 在main.js的webPreferences中加入两行配置 constmainWindow=newBrowserWindow({ width:800, height:600, webPreferences:{ nodeIntegration:true, contextIsolation:false, preload:path.join(__dirname,'preload.js') ...
学习electron遇到的问题
qq_44238690的博客
07-31 663
1、遇到require is not defined的问题·。 解决:webPreferences加入contextIsolation: false 注:似乎是electron的开发者不提倡渲染进程的js(如:renderer.js)使用node,而提倡用preload.js使用node。 2、electron打包的时候缺少依赖。 原因:package.json没有devDependencies或者devDependencies没有写入依赖包。 ...
Electron入门教程2 ——进程模型
weixin_50216991的博客
04-17 2323
欢迎来到Electron的第二期入门教程,上一期我们从零开始编写并发布了第一个简单的windows桌面应用程序,对electron的项目结构等也有了基本了解。这一期开始,会继续深入地学习Electron的其他知识点,这一节概念性的东西会比较多,虽然后面也有实操的点,但重在理解。上一节写preload.js的时候,就提到过进程相关的概念,但是并没有详细地去学习。Electron继承了Chromium的多进程架构,这使得该框架架构与现代web浏览器非常相似。 ✧ 为什么不是单个进程? Web浏览器是非常复杂.
electron 主进程和渲染进程中使用node模块
陌子曦的专栏
01-08 3021
主进程中使用node模块 //在main.js中引入 const fs = require('fs') //在主进程中使用node.js fs.readFile("package.json",(err,data)=>{ if(err){ console.log("err") } console.log(data.toString()) }) 渲染进程使用node.js ①main.js const { app, BrowserWindow } =
electron-builder 命令执行
05-26
要使用 electron-builder 命令,需要先在项目中安装 electron-builder。可以使用 npm 或者 yarn 进行安装。 使用 npm 安装: ``` npm install electron-builder --save-dev ``` 使用 yarn 安装: ``` yarn add electron-builder --dev ``` 安装完成后,在 package.json 文件中配置打包命令: ``` "scripts": { "build": "electron-builder" } ``` 然后在终端中执行以下命令进行打包: ``` npm run build ``` 或者 ``` yarn build ``` 根据项目的具体情况,还需要在 package.json 文件中配置一些其他的参数,比如应用程序的名称、版本号、图标等。具体的参数配置可以参考 electron-builder 的文档。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值