To understand this article, readers need to have the basic knowledge of mojo and I recommend the following documents: https://chromium.googlesource.com/chromium/src/+/refs/heads/main/mojo/publi...

After learning about V8 exploitation, I became to be interested in the security of Chromium. After a period of thinking, I decided to start by learning about the security models of Chromium and the...

This is my first English blog. I wish to improve my English through writing English blogs. Vuzzer is the first Application-aware fuuzer that I’ve encountered. It uses the mutation guided by taint a...

Krautflare workers are the newest breakthrough in serverless computing. And since we’re taking security very seriously, we’re even isolating customer workloads from each other! For our demo, ...

background 直接跳过论文最开始对于浏览器安全和JavaScript引擎安全的背景介绍。 Fuzzing Basic 现在常用的fuzz技术可以被分成两类： 基于生成的fuzz（Generative Fuzzing）：在生成测试用例之前，必须向fuzzer提供一组语法规则来定义产生样本的格式。fuzzer将从一个”根产生式”开始，通过随机选择产生式进行扩展，最终得到一个...

Grammar Fuzzing Read Note 这一篇笔记是fuzzing book的syntactical fuzzing部分前三章的阅读笔记。 overview 之前了解过的基于变异的fuzzer，需要在fuzz之前提供测试用例，fuzzer对测试用例进行变异，将变异之后的测试用例输入到程序中。 但是一些程序中bug的触发依赖于输入中多种语法结构的组合，比如编译器，解释器。在...

afl-gcc afl-gcc负责寻找afl-as所在的路径，然后将这个路径编辑在-B参数中并设置一系列其它启动参数，使用这些设置好的参数启动对应的编译器（gcc，clang）对源文件进行编译。 所以afl-gcc实际上是真正编译器的一层wrapper，afl-gcc的主要任务是传递afl-as的路径给编译器，使编译器在编译时选择afl-as作为汇编器进行插桩。下面是它的工作逻辑： m...

要复现这个漏洞必须对Turbofan的Simplified Lowering阶段和Deoptimization阶段有一定的了解。 首先熟悉一下这个issue的poc，下面的所有的分析都是以这个poc为基础来进行： // Copyright 2019 the V8 project authors. All rights reserved. // Use of this source cod...

作为复现Chrome Issue 1016450的前置知识。 Reference reference_1 , reference_2 , reference_3 Ignition ingnition reference Ignition是作为V8的解释器而存在，Ignition是一个寄存器式的字节码虚拟机，也就是说在执行字节码执行过程中所涉及的输入和输出都保存在寄存器中，不涉及栈的...

reference 我的第一道和JIT有关的题目，在复现的过程中学到了很多知识。 题目提供的是一个完整的Chrome浏览器，其中的V8引擎被打上了patch，所以漏洞实际上发生在V8上。因为编译Chrome的时间太长了，可以从题目给出的Chrome版本找到对应的V8版本，然后将V8打上patch编译之后直接对V8进行调试。 chrome版本：70.0.3538.9 V8 commit...