主页 / BlueHat Shanghai 2019 Security Conference / 2018年浏览器脚本引擎零日漏洞
  • 作者
    Elliot Cao@Trend Micro
  • 简介

    目录

    • • 2018年的浏览器零日漏洞
    • • VBSEmulator
    • • Chakra

    浏览器是进入互联网世界的窗口。脚本可以使浏览器更加丰富多彩。因为大多数脚本语言都是动态的、弱类型的,不需要考虑内存管理,所以人们可以很容易地开发浏览器应用程序。这都要归功于脚本引擎。但复杂的脚本引擎似乎很脆弱。2018年,我们看到了一些基于这些脚本引擎的零日攻击,如flash、vbscript和jscript。本主题包含以下部分:首先,我们将在2018年快速回顾浏览器脚本引擎的漏洞,主要是在野外发现的零天攻击上。其次,我们将介绍一个我自己开发的工具vbschemulator,它可以做一些vbscript的去污和检测可能的vbscript漏洞利用技术,如godmode和rop。第三,我们将快速预览微软新一代浏览器边缘的javascript引擎chakra,解释如何在chakra中利用。

    中文演讲视频

    英文演讲视频

  • 援引
    https://www.microsoft.com/china/bluehatshanghai/2019/#Agenda
  • 提示
    本站仅做资料的整理和索引,转载引用请注明出处
相关推荐
附件下载
  • Browser.Script.Engine.Zero.Days.in.2018.CH.pdf
    时间: 大小: 2.55 M 下载: 42
  • Browser.Script.Engine.Zero.Days.in.2018.EN.pdf
    时间: 大小: 2.44 M 下载: 5