https://blog.qife122.com/tags/%E8%8A%82%E7%82%B9%E9%9B%86%E6%88%90%E7%BB%95%E8%BF%87/ Recent content in 节点集成绕过 on 办公AI智能小助手 Hugo zh-cn qife Sat, 13 Sep 2025 01:35:12 +0800 https://blog.qife122.com/p/%E7%8E%B0%E4%BB%A3%E7%82%BC%E9%87%91%E6%9C%AF%E5%B0%86xss%E8%BD%AC%E5%8C%96%E4%B8%BArce%E6%BC%8F%E6%B4%9E%E5%88%A9%E7%94%A8/ Sat, 13 Sep 2025 01:35:12 +0800 https://blog.qife122.com/p/%E7%8E%B0%E4%BB%A3%E7%82%BC%E9%87%91%E6%9C%AF%E5%B0%86xss%E8%BD%AC%E5%8C%96%E4%B8%BArce%E6%BC%8F%E6%B4%9E%E5%88%A9%E7%94%A8/ <h1 id="现代炼金术将xss转化为rce">现代炼金术：将XSS转化为RCE</h1> <p><strong>TL;DR</strong><br> 在2017年黑帽大会上，Doyensec联合创始人Luca Carettoni展示了关于Electron安全的新研究。在快速概述Electron的安全模型后，我们披露了可被利用来破坏任何基于Electron应用程序的设计弱点和实现漏洞。特别地，我们讨论了一种绕过方法，即使在有框架级保护的情况下，渲染不可信内容（例如通过跨站脚本）也能实现可靠的远程代码执行（RCE）。在这篇博客文章中，我们希望深入探讨该漏洞（CVE-2017-12581）及其修复方案。</p>