Electron审计入门知识铺垫

最新推荐文章于 2024-04-09 09:35:43 发布
最新推荐文章于 2024-04-09 09:35:43 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: 杂项 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xy_sunny/article/details/118191879
版权

前言

最近被 XMind 2020 XSS 导致远程代码执行的漏洞所吸引,复现过程比较简单,于是想研究一下漏洞造成的原因,因为 XMind 属于 electorn 应用,应用了很多 Web 前端技术,然后就发现自己什么也看不懂。所以后面收集了很多知识,构成了这篇文章,相信看完这篇文章后,大家会对 electorn 审计会有大概的思路。

Electron的安全策略

nodeIntegration

nodeIntegration 是用来隔离不受信任的资源,如来自不受信任的远程服务器的代码在本地被执行,将会造成安全问题。

例如在默认的 BrowserWindow中显示一个远程网站。如果攻击者以某种方式设法改变所述内容 (通过直接攻击源或者通过在应用和实际目的地之间进行攻击) ,他们将能够在用户的机器上执行本地代码。

拆分下 nodeIntegration 来理解一下, node 指的是 Node.js , integration 英文是集成的意思,在 Electron 中默认 nodeIntergration 为 False,表示禁用 Node.js 集成,这样可以有助于防止XSS攻击升级为“远程代码执行” (RCE) 攻击。

官方的指导方法如下:

// 不推荐
const mainWindow = new BrowserWindow({
   
  webPreferences: {
   
    nodeIntegration: true,
    nodeIntegrationInWorker: true
  }
})
mainWindow.loadURL('https://example.com')

// 推荐
const mainWindow = new BrowserWindow({
   
  webPreferences: {
   
    preload: path.join(app.getAppPath(), 'preload.js')
  }
})
mainWindow.loadURL('https://example.com')

<!-- Bad -->
<webview nodeIntegration src="page.html"></webview>
<!-- Good -->
<webview src="page.html"</
最低0.47元/天 解锁文章
jelly0930
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
debugtron:调试基于生产电子产品的应用程序
02-04
调试器 Debugtron是用于调试基于生产电子产品的应用程序的应用程序。 它也是用Electron构建的。 安装 安装二进制文件可在。 执照 麻省理工学院
解决Electron客户端主进程中设置nodeIntegration为true,渲染进程中依旧无法使用remote模块的问题
duansamve的博客
09-05 4592
解决Electron主进程中设置enableRemoteModule为true,渲染进程中依旧无法使用remote模块的问题
Electron node integration enabled 设置
Pegasus的软件博客
11-20 9384
Electron node integration enabled 设置 Electron调试Console报告如下内容时 Electron Deprecation Warning (nodeIntegration default change) This window has node integration enabled by default. In Electron 5.0.0, node...
Electron中nodeIntegration设置为true后require is not define
duansamve的博客
09-01 1180
Electron版本为20.0.2,Electron中nodeIntegration设置为true后控制台任报错:require is not define
electron 调试、问题追踪
大白兔奶糖的博客
07-27 3191
客户端GUI程序,调试测试 小妙招
Electron学习: nodeIntegration设置为true后require is not defined
weixin_40995362的博客
06-01 558
electron 渲染进程无法使用require问题
electron入门心得
01-27
npm命令安装electron库刚接触一个新东西,难免一头雾水,如果多看一点相关的文章势必会有一个方向感,去更好的上手新东西。上手electron,官方提供了一个非常好的快速上手实例。这个仓库给我们初始化了一个electron...
Electron基础入门教程
10-26
总的来说,这个教程为新手提供了一个全面的Electron入门路径,无论你是Web开发者还是对桌面应用开发感兴趣,都能从中获得宝贵的知识和实践经验。通过实践这些视频教程和配套材料,你将能够自信地构建自己的Electron...
electron入门.pptx
02-17
Electron 入门指南 Electron 是一个由 Github 开发的开源框架,允许开发者使用 Web 技术构建跨平台的桌面应用。它利用 Chromium 浏览器提供强大的 UI 能力,让开发者可以不考虑兼容性的情况下,利用强大的 Web 生态...
electron入门
02-27
以上就是Electron入门学习中会涉及的一些核心知识点。通过实践这些知识,你可以逐步掌握创建功能丰富的桌面应用的技能。不断学习和探索,你会发现Electron是一个强大且灵活的开发工具,能够帮助你实现各种创新的桌面...
关于调试打包后的electron程序
小人物的点点滴滴
08-12 1683
调试渲染进程可以直接使用 ctrl + shift + i 打开渲染进程的控制台 调试主进程下载使用debugtron进行查看当前电脑所安装的electron程序的日志
Debugtron:前端开发者的新朋友
最新发布
gitblog_00047的博客
04-09 398
Debugtron:前端开发者的新朋友 项目地址:https://gitcode.com/pd4d10/debugtron Debugtron 是一个强大的开源工具,专为前端开发人员设计,旨在简化远程调试React应用的过程。它通过提供一个直观的界面和高效的工作流程,使您能够在本地环境中轻松地调试部署在服务器上的应用程序。 技术分析 Debugtron 基于Electron构建,这意味着它是一个跨...
Electron应用调试
HoYa_1的博客
07-04 2800
Electron是一个使用JavaScript、HTML和CSS构建跨平台的桌面应用程序。它基于Node.js和Chromium,被Atom编辑器和许多其他应用程序使用。Electron兼容Mac、Windows和Linux,可以构建出三个平台的应用程序。相对而言,Electron 的维护成本较低,因而十分流行。VS Code、一些企业的即时通讯工具等,都使用了Electron。但存在性能问题,同时也引入了其他的安全问题。
electron框架学习笔记之 new BrowserWindow({webPreferences:{nodeIntegration:true}})的意义
zy103118的博客
06-07 2420
electron
简单粗暴、踩坑指南:vue内使用electron内的API,如CMD命令、更新等
SL的前端学习
03-22 409
网上找了很多资料,很多没头没尾的,最终根据多个资料理解整合了下,经过测试没问题,一套下来处理下来,你只要多去翻看electron的使用就可以了愉快的在vue中调用electron的API了。
Electron攻击面分析
Karka_的博客
08-15 445
在今年Blackhat的会议上,安全研究员Aaditya Purani和Max GarreG分享了议题《Pwning Popular Desktop分享了几个Electron利用的新方法和他们挖到几个Electron应用的漏洞案例。Electron是一个桌面应用程序的框架,极大的方便了跨平台应用的开发。Chromium和NodeJS是Electron的重要组成部分。因为Electron拥有直接执行Nodejs代码的能力,并且内置了Chromium内核。一个XSS漏洞,很可能就会导致RCE。
electron设置nodeIntegration 无效
qq_44732555的博客
07-06 3235
当你设置nodeIntegration 为true不起作用的时候可以将contextIsolation改为false //main.js webPreferences: { nodeIntegration: true, // 是否集成 Nodejs contextIsolation: false } //index.html中 <script> window.electron = require("electron"); </script>`
electron
qq_16893329的博客
11-25 402
electron
Electron 企业级应用开发实战(二)
小陈的博客
01-04 1162
这一讲会重点介绍如何集成 Node.js、使用 preload 脚本、进程间双向通信、上下文隔离等,为大家揭开 Electron 更强大的能力。企业级桌面应用的资源都是本地化的,离线也能使用,所以需要把 html、js、css 这些资源都打包进去,接下来我们就在 src/renderer 目录下创建 index.html 和 index.js 两个文件: 然后在创建窗口函数里面把用 loadURL 加载网页的代码换成 loadFile 加载本地文件: 这样就可以加载本地 HTML 文件了,接下来要实现本节第
electronjs入门
08-18
欢迎!关于 Electron.js 的入门,我可以给你一些基本的介绍和指导。 Electron.js 是一个开源的跨平台框架,用于构建基于 web 技术(HTML、CSS 和 JavaScript)的桌面应用程序。它允许你使用前端技术栈(比如 React、Vue 或 Angular)来开发原生应用,支持 Windows、Mac 和 Linux 等多个操作系统。 以下是一些入门步骤: 1. 安装 Node.js:首先,你需要在你的计算机上安装 Node.js。你可以在 Node.js 的官方网站上下载适合你操作系统的安装包并进行安装。 2. 创建新的 Electron 项目:在你的命令行工具中,使用以下命令创建一个新的 Electron 项目: ```shell npx create-electron-app my-app ``` 这将创建一个名为 `my-app` 的新目录,并在其中生成一个初始的 Electron 项目结构。 3. 进入项目目录:使用以下命令进入项目目录: ```shell cd my-app ``` 4. 启动应用程序:运行以下命令来启动 Electron 应用程序: ```shell npm start ``` 这将启动你的 Electron 应用程序,并在一个新的窗口中显示。 5. 编辑应用程序:现在,你可以开始编辑你的应用程序了。在 `src` 目录下,你可以找到 `index.html`、`index.css` 和 `index.js` 文件。你可以在这些文件中进行相应的修改,来构

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值