全文共字,预计学习时长9分钟
图源:unsplash一群从事绝密项目而不自知的JavaScript开发人员,该用什么样的方法来提取他们的代码呢?本文的故事就是关于这个的。这些技术之所以有效,是因为浏览器在不需要多重防护的条件下就允许公共来源的websockets打开本地主机的websockets连接。
这让笔者产生了一些思考。笔者知道流行的JavaScript框架在开发中使用websockets,以在内容更改时自动重新加载页面。一个恶意的网站能不能窃听到这些流量,并找出开发人员在何时保存下的代码?
事实比想象的还要糟糕。
计划如下:
·进行一些设置,或是将广告恶意软件注入前端开发人员经常访问的热门网站。比如说