点击即中招:利用 VSCode 漏洞窃取 GitHub Token
点一下链接就能被盗走 GitHub Token,私有仓库的读写权限全部沦陷。安全研究员 Ammar 详细披露了 VSCode(含 网页版)的一个高危漏洞:当你在 打开一个 Jupyter notebook 时,攻击者可以在 markdown 单元格中注入 JS,利用 webview 将 keydown 事件冒泡到主窗口的安全缺陷,模拟按键完成「接受扩展推荐…
Ammar Askar 的博客,主要关于编程、安全与软件工程。
点一下链接就能被盗走 GitHub Token,私有仓库的读写权限全部沦陷。安全研究员 Ammar 详细披露了 VSCode(含 网页版)的一个高危漏洞:当你在 打开一个 Jupyter notebook 时,攻击者可以在 markdown 单元格中注入 JS,利用 webview 将 keydown 事件冒泡到主窗口的安全缺陷,模拟按键完成「接受扩展推荐…