web安全
关注
分享
扫一扫
文章平均质量分 95
记录web安全相关知识
XiLitter
学web方向的本科生,每天都在努力变强
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
node.js--vm沙箱逃逸初探
前几天遇到一个考察vm沙箱逃逸的题目,由于这个点是第一次听说,所以就花时间了解了解什么是沙箱逃逸。此篇文章是对于自己初学vm沙箱逃逸的学习记录,若记录知识有误,欢迎师傅们指正。就只针对于node.js而言,沙箱和docker容器其实是差不多的,都是将程序与程序之间,程序与主机之间互相分隔开,但是沙箱是为了隔离有害程序的,避免影响到主机环境。为什么node.js语言要引入沙箱,这就要说说js语言中的作用域(也叫上下文)。------->输出undefined-------->输出100。原创 2023-01-04 20:51:37 · 2406 阅读 · 2 评论 -
[RCTF 2019]Nextphp(php7.4的FFI扩展安全问题)
这个FFI扩展最初是为了能够更方便的调用C语言的各种库而设计的,然而在不正确的使用下就会像该题这样,直接绕过php层的限制去执行命令。当然,个人觉得该扩展引发的安全问题也是比较好防护的。设置ffi.enable=preload参数选项,指定特定的php文件去调用FFI。总之,FFI扩展引发的问题也是需要了解的。原创 2022-12-14 23:58:01 · 809 阅读 · 2 评论