从编译器后门到 JS 后门-阿里云开发者社区

开发者社区> 开发与运维> 正文

从编译器后门到 JS 后门

简介:

安全研究员 Travis Goodspeed 在 DEF CON 23 上报告了利用存在 bug 的 CLANG 编译器,在编译时间植入提权后门漏洞,创造一个人人能获得 root 权限的后门版 sudo。受此启发,Lets encrypt 项目的女工程师 Yan 发现,可以利用 JS 缩小器的 bug 去植入后门。Javascript 是一个解释性语言,它几乎已经无处不在,缩小和优化 JS 去减少文件大小和改进性能是十分常见的事情。她注意到,利用流行 JS 缩小器(uglify-js@2.4.23)的 bug,为 jQuery 程序植入后门是可能的。概念验证代码发布在 Github 上。

文章转载自 开源中国社区[https://www.oschina.net]

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
开发与运维
使用钉钉扫一扫加入圈子
+ 订阅

集结各类场景实战经验,助你开发运维畅行无忧

其他文章