⭕️ Exploiting Node.js deserialization bug for Remote Code Execution
در این مقاله، نویسنده به اکسپلویت کردن آسیب پذیری deserialization توی Node.js می پردازه.
و از تکنیک IIFE در جاوا اسکریپت برای call کردن property مرتبط با code execution استفاده میکنه. که البته اینکه از این تکنیک کجای پیلود استفاده کنه به یه چالشی بر میخوره که توی مقاله میتونید بخونیدش.
که در نهایت تبدیل به RCE میشه.
https://opsecx.com/index.php/2017/02/08/exploiting-node-js-deserialization-bug-for-remote-code-execution/
#nodejs #RCE #deserialization
@securation
در این مقاله، نویسنده به اکسپلویت کردن آسیب پذیری deserialization توی Node.js می پردازه.
و از تکنیک IIFE در جاوا اسکریپت برای call کردن property مرتبط با code execution استفاده میکنه. که البته اینکه از این تکنیک کجای پیلود استفاده کنه به یه چالشی بر میخوره که توی مقاله میتونید بخونیدش.
که در نهایت تبدیل به RCE میشه.
https://opsecx.com/index.php/2017/02/08/exploiting-node-js-deserialization-bug-for-remote-code-execution/
#nodejs #RCE #deserialization
@securation
OpSecX
Exploiting Node.js deserialization bug for Remote Code Execution
tl;dr Untrusted data passed into unserialize() function in node-serialize module can be exploited to achieve arbitrary code execution by passing a serialized JavaScript Object with an Immediately invoked function expression (IIFE). The Bug During a Node.
👍6👎1