V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Mutoo
V2EX  ›  分享发现

利用 NPM + Github 的盗取信用卡信息

  •  
  •   Mutoo · 2018-01-10 06:53:44 +08:00 · 2984 次点击
    这是一个创建于 2270 天前的主题,其中的信息可能已经有所发展或是发生改变。
    TLDR:提交到 NPM 的 .min.js 可以不存在 github repo 中。向 .min.js 混入恶意代码可通过各种手段(详见原文)规避审查不被及时发现,细思极恐。

    原文: https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5
    8 条回复    2018-01-11 09:58:31 +08:00
    sammo
        2
    sammo  
       2018-01-10 08:07:54 +08:00 via iPhone
    墨菲定律(英文名:Murphy's Law ),亦称莫非定律、莫非定理、或摩菲定理,是西方世界常用的俚语。 什么是墨菲定律? 最简单的表达形式是“有可能出错的事情,就会出错( Anything that can go wrong will go wrong )。
    coolcoffee
        3
    coolcoffee  
       2018-01-10 11:17:32 +08:00
    这个在 GitHub 上应该同样存在吧, 就算给了你源代码,但是会去编译的只是少数人, 大部分人都会下载现成的二进制文件了事。
    lrxiao
        4
    lrxiao  
       2018-01-10 11:26:39 +08:00
    PyPI 也一样..而且 PyPI 还说 管不来 管不来
    discrete
        5
    discrete  
       2018-01-10 13:02:37 +08:00 via iPad
    其实 npm 和 PyPI 有钱的话可以制定一套规则 build from source,类似 Travis CI。
    wujunchuan2008
        6
    wujunchuan2008  
       2018-01-10 14:29:58 +08:00
    细思极恐
    breeswish
        7
    breeswish  
       2018-01-10 16:26:43 +08:00
    递交到 npm 的内容也可以完全和 github 上的不一样~ 所以想混什么都是可以的,只是 .min.js 更不容易被发现
    alexyangjie
        8
    alexyangjie  
       2018-01-11 09:58:31 +08:00 via iPhone
    细思极恐
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   5946 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 02:07 · PVG 10:07 · LAX 19:07 · JFK 22:07
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.