Pull to refresh
1
0
Angel@Djin22

User

Send message

Потрошим расширения VS Code: как XSS превращается в кражу ваших SSH-ключей

Reading time4 min
Reach and readers3.9K

Многие привыкли считать, что VS Code — это просто текстовый редактор. Но «под капотом» у нас старый добрый Electron со всеми вытекающими. Если расширение имеет доступ к файловой системе, а вы открываете в нём кривой файл поздравляю, вы в зоне риска

Я решил покопаться в безопаснности популярных расширений от самой Microsoft: SARIF Viewer и Live Preview. Спойлер: удалось найти обход защиты (CVE-2022-41042) и вытащить локальные файлы через... DNS-запросы.

Читать далее

Information

Rating
Does not participate
Registered
Activity

Specialization

Specialist
SQL
PostgreSQL
Docker