从编译器后门到 JS 后门

oschina
 oschina
发布于 2015年08月26日
收藏 21

安全研究员 Travis Goodspeed 在 DEF CON 23 上报告了利用存在 bug 的 CLANG 编译器,在编译时间植入提权后门漏洞,创造一个人人能获得 root 权限的后门版 sudo。受此启发,Lets encrypt 项目的女工程师 Yan 发现,可以利用 JS 缩小器的 bug 去植入后门。Javascript 是一个解释性语言,它几乎已经无处不在,缩小和优化 JS 去减少文件大小和改进性能是十分常见的事情。她注意到,利用流行 JS 缩小器(uglify-js@2.4.23)的 bug,为 jQuery 程序植入后门是可能的。概念验证代码发布在 Github 上。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:从编译器后门到 JS 后门
加载中

最新评论(12

CheneyWong
CheneyWong

引用来自“CheneyWong”的评论

页面上的 js 添加什么后门呢,顶多做个访问信息收集吧。

引用来自“wmlgl”的评论

xss攻击
哦,学习了
wmlgl
wmlgl

引用来自“CheneyWong”的评论

页面上的 js 添加什么后门呢,顶多做个访问信息收集吧。
xss攻击
wmlgl
wmlgl
xss攻击
CheneyWong
CheneyWong
页面上的 js 添加什么后门呢,顶多做个访问信息收集吧。
沧海一刀
沧海一刀
心机婊
百世经纶之傲笑红尘
百世经纶之傲笑红尘
你们错了,应该是bug无处不在,突然被她发现,呵呵,走红了一会
霡霂
霡霂

引用来自“JM_Joy”的评论

心机婊
不,是心机媴
修改性别
修改性别

引用来自“JM_Joy”的评论

心机婊

引用来自“blu10ph”的评论

你这个太损了哈哈哈哈哈。。。
然而并没有什么卵用
blu10ph
blu10ph

引用来自“JM_Joy”的评论

心机婊
你这个太损了哈哈哈哈哈。。。
gaubee
gaubee
怎么去利用这个后门呢?
返回顶部
顶部