• Twitterでシェア
  • Facebookでシェア

ElectronアプリのXSSでrm -fr /を実行する - Qiita

テクノロジー カテゴリーの変更を依頼 記事元:qiita.com/akameco
適切な情報に変更
331users がブックマーク コメント 64

    記事へのコメント64

    • 注目コメント
    • 新着コメント
    lli
    仮想環境に本番環境がマウントされてて一緒に飛ばした登大遊先生は関係ないだろいい加減にしろ

    その他
    izumin5210
    XSSでクライアントを殺せる時代

    その他
    akameco
    やってみたタグを付けようか迷った

    その他
    YukeSkywalker
    サヨナラ!サーバ=サンは爆発四散!

    その他
    ryota-murakami
    クライアントマシンに対してOSコマンドインジェクションが成立している、びっくり

    その他
    habarhaba
    リンク一発即逝きって何かconcon問題思い出すな

    その他
    mizdra
    “さよなら!”

    その他
    m_m3zono
    仮想環境じゃなくてホストで試しちゃうやつ…さすがにいないか。

    その他
    urza358
    security electron

    その他
    manaten
    できることがふえるとXSSでできることも増えて、実装者の責任も増えるというお話

    その他
    otiai10
    “ワンクリックですべてが吹き飛ぶの最高ですね。gifを撮り忘れたのが心残りです。”

    その他
    fake-jizo
    web版とelectron版のあるチャットアプリケーションという設定です。攻撃者が用意したリンクをクリックすると、PC内のすべてのファイルを消し去るというシチュエーションを考えてみます。 Tags: via Pocket

    その他
    teramako
    どうやって特権昇格してるの?とみてみたらsudoでNOPASSWORDなのかな?だとしたら、それがセキュリティホールのような…。

    その他
    rochefort
    破壊力すごい

    その他
    joe-re
    “ワンクリックですべてが吹き飛ぶの最高ですね”やばい

    その他
    konishika
    怖い

    その他
    june29
    便利そう

    その他
    hiroshi_revolution
    こわっ

    その他
    masayoshinym
    “死にました。”淡々としてて良い。

    その他
    naga_sawa
    明示的に eval とかしなくてもプロセス叩けちゃうのか

    その他
    manaten
    manaten できることがふえるとXSSでできることも増えて、実装者の責任も増えるというお話

    2016/06/03 リンク

    その他
    bps_tomoya
    Electron プラットフォームで用意されている対策方法が全部ザルなのでどう対処するかというと根性

    その他
    YaSuYuKi
    現状の対策は「根性でxssを防ぐ」しかないらしいんだよな……

    その他
    khtokage
    gif版は見てみたいけど見たら変な笑いが出そうだw

    その他
    kuxttoba
    『gifを撮り忘れたのが心残り』

    その他
    akabekobeko
    Renderer 側でネイティブ機能を実行可能なのはよろしくない。IPC のみ許可するモードをつけて標準化してほしい。

    その他
    reteria
    関係ないけど underscoreのtemplateと ejsのtemplateのエスケープありなしの展開方法 逆なのか・・・

    その他
    hataichi
    XSSつくれぽ

    その他
    jinjor
    あえてそのコマンドでやるところが素敵

    その他
    ono_matope
    Electronこえー。同様にデスクトップJS環境であったかつてのKonfabulator (Yahoo! Widget)はどうだったんだろう

    その他
    bamch0h
    ひえー

    その他
    fa11enprince
    こええ

    その他
    ytsnomiya221
    "一応githubに今回試した脆弱性アプリを置いておいたので、試したい人はどうぞ。"フリなのかな

    その他
    ytsk
    恐ろしい

    その他
    lefb766
    win.loadURL('http://~な時点で即死級ですがな

    その他
    umai_bow
    BrowserWindowからnodeモジュール使えないようにしてくれ〜>人<

    その他
    urza358
    urza358 security electron

    2016/06/02 リンク

    その他
    key_amb
    electronのヤバさを端的に示しているようだ。

    その他
    progrhyme
    electronのヤバさを端的に示しているようだ。

    その他
    tolkine9999h
    うおっほ。electron触ろうと思ってた直後だからたのしいなこれ。

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    ElectronアプリのXSSでrm -fr /を実行する - Qiita

    Electronアプリでxssを発生させると任意のコードが実行できるらしいのでrm -fr /を試してみます。 想定 ...

    ブックマークしたユーザー

    • techtech05212023/12/23 techtech0521
    • harukeki2017/10/06 harukeki
    • otiai102017/04/24 otiai10
    • bladeterminal2016/07/11 bladeterminal
    • Carimatics2016/07/06 Carimatics
    • fake-jizo2016/06/29 fake-jizo
    • tkym13942016/06/27 tkym1394
    • muddydixon2016/06/13 muddydixon
    • orangeclover2016/06/11 orangeclover
    • windgrin2016/06/10 windgrin
    • flatbird2016/06/09 flatbird
    • tori9322016/06/08 tori932
    • teramako2016/06/08 teramako
    • J1382016/06/08 J138
    • Kenji_s2016/06/08 Kenji_s
    • sylph012016/06/08 sylph01
    • kyo_ago2016/06/07 kyo_ago
    • glintpools2016/06/06 glintpools
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.