印象笔记 Windows 客户端 6.15 本地文件读取和远程命令执行漏洞(CVE-2018-18524)
随机文章印象笔记 Windows 客户端 6.15 本地文件读取和远程命令执行漏洞(CVE-2018-18524)
实在难得的例子,一个因为 XSS 导致本地文件读取和 RCE 的例子。
引入 NodeJS 环境到本地,对于输入过滤不严,产生的 XSS 极其容易导致其他的严重漏洞。一旦结合 NodeJS 的脚本执行能力,那基本就是一个杀人于无形的巨大漏洞。
由于这样的 NodeJS 客户端的漏洞,极其隐蔽,很多时候感觉都是网络战武器级别的实现。