A detailed bug bounty writeup describing a four-vulnerability chain that achieves one-click account takeover. The chain combines: (1) a DOM XSS sink in a React error page that passes an unvalidated backURL query parameter to window.location.assign; (2) an Akamai WAF bypass using bracket-notation property access (top["setTimeout"]) to avoid keyword-paren adjacency detection; (3) window.name cross-origin smuggling to deliver the payload without it ever appearing in the inspected URL; and (4) abuse of a first-party authentication SDK that exposes methods returning signed JWTs and live AWS STS credentials to any executing JavaScript. The result: nine webhook hits in 8 seconds, yielding full session metadata, a signed RS256 JWT containing PII, and temporary credentials for two separate AWS accounts. Key takeaways include modeling WAF rules structurally rather than brute-forcing variants, the persistent cross-origin nature of window.name, and how global auth SDKs dramatically escalate XSS severity beyond simple cookie theft.
Nguồn: https://infosecwriteups.com/chaining-a-dom-xss-sink-waf-bypass-cross-origin-smuggling-and-sdk-abuse-into-one-click-account-6c1a7095f8e1. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
ECMA International vừa phê duyệt ECMAScript 2026 (ES2026) vào ngày 30/6, phiên bản thứ 17 của đặc tả JavaScript. Bản cập nhật bổ sung nhiều tính năng mới như Math.sumPrecise, Iterator.concat, Array.fromAsync, Error.isError, phương thức mới cho Map/WeakMap, hỗ trợ chuyển đổi Uint8Array sang hex/base64, cùng cải tiến cho JSON.parse và JSON.stringify.
Lập trình viên nên đọc bài này vì ECMAScript 2026 mang đến những tính năng mới như Array.fromAsync và JSON.rawJSON, giúp cải thiện hiệu suất và tính linh hoạt trong xử lý dữ liệu đồng bộ/không đồng bộ và định dạng JSON trong các dự án hiện đại.
Khóa học miễn phí 2 giờ trên freeCodeCamp hướng dẫn toàn diện cách xử lý ngày giờ trong …
Phiên bản Deno 2.9 bổ sung công cụ deno desktop để xây dựng ứng dụng desktop native từ công nghệ web, tạo ra các tệp thực thi duy nhất với backend webview hoặc CEF. Cải tiến đáng chú ý bao gồm hỗ trợ di chuyển từ lockfile npm/pnpm/yarn/Bun, snapshot testing, test theo tham số, tối ưu hiệu suất khởi động lạnh gấp đôi và giảm 3 lần bộ nhớ khi tải nặng.
Nếu bạn đang tìm cách xây dựng ứng dụng desktop hiệu quả từ công nghệ web, nâng cấp khả năng kiểm thử và an toàn trong dự án của mình, hoặc muốn tối ưu hóa hiệu suất và quản lý phụ thuộc, Deno 2.9 sẽ là công cụ quan trọng giúp bạn giải quyết những thách thức này một cách hiện đại và hiệu quả.

Thư viện Prop For That của Adam Argyle cung cấp các CSS custom properties động, cho phép truy cập vào những thuộc tính CSS thông thường không thể truy xuất như vị trí con trỏ, tốc độ cuộn, trạng thái form hay thời gian hiện tại. Nhà phát triển chỉ cần thêm thuộc tính data vào HTML, sau đó sử dụng trực tiếp các biến CSS này trong stylesheet mà không cần viết JavaScript.
Lập trình viên nên đọc bài này để khám phá cách Prop For That giúp tối ưu hóa giao diện người dùng bằng cách kết nối trực tiếp CSS với dữ liệu động từ HTML mà không cần JavaScript, mở rộng khả năng tùy biến UI một cách đơn giản và hiệu quả.
Node.js 26.4.0 bổ sung nhiều tính năng mới như node:vfs (hỗ trợ mount VFS), buffer tùy chỉnh cho readFile(), package maps trong module loader, nén chứng chỉ TLS, điều khiển TCP keepalive (TCP_KEEPINTVL/TCP_KEEPCNT) cùng cải tiến xử lý kết nối HTTP. Bản phát hành cũng sửa nhiều lỗi trong streams, crypto, QUIC, SQLite, debugger và bộ theo dõi file, đồng thời cập nhật dependencies (npm 11.17.0, libffi 3.6.0, SQLite 3.53.2, ngtcp2 1.23.0) và tối ưu hiệu suất cho buffers, streams.
Lập trình viên nên đọc bài này để cập nhật về các cải tiến mới trong Node.js 26.4.0, đặc biệt là các tính năng như VFS (Virtual File System) tích hợp, tối ưu hóa TCP keepalive và cập nhật các module quan trọng như npm và libffi, giúp nâng cao hiệu suất và độ ổn định cho các ứng dụng Node.js hiện đại.
Tập san Bytes vừa kỷ niệm số 500 với những thống kê ấn tượng: 115 số về Web Platform, 71 số về React, 42 số về AI/Agents cùng 4.694 liên kết CoolBits đã được tuyển chọn. Bản phát hành mới còn đề cập đến những cải tiến về Turbopack trong Next.js 16.3, hỗ trợ Docker cho Vercel Functions, hệ thống thiết kế Astryx của Meta được open-source, MCP server ra mắt từ X, và sự ra đời của Claude Sonnet 5 từ Anthropic.
Lập trình viên nên đọc bài này để cập nhật những tiến bộ kỹ thuật mới nhất và xu hướng công nghệ như Next.js 16.3, Vercel Functions, hoặc AI/agents, giúp họ tối ưu hóa công việc và phát triển ứng dụng hiệu quả hơn.

ESLint v10.6.0 bổ sung tùy chọn checkRelationalComparisons cho rule no-constant-binary-expression để phát hiện so sánh quan hệ luôn trả về hằng số, cùng cải tiến cho 9 rule khác như max-classes-per-file, no-throw-literal và cập nhật tài liệu về cấu hình TypeScript cho MCP server.
Lập trình viên nên đọc vì phiên bản mới của ESLint 10.6.0 bổ sung các tính năng cải tiến như kiểm tra biểu thức so sánh tương quan (như <, >, ==) có kết quả hằng số, đồng thời khắc phục lỗi sai lầm trong các quy tắc hiện có, giúp codebase của bạn được kiểm soát tốt hơn về chất lượng và hiệu suất.

Prettier 3.9 nâng cấp parser cho nhiều ngôn ngữ: Markdown chuyển sang micromark v4, YAML lên yaml v2, GraphQL hỗ trợ GraphQL.js v17, Flow dùng parser Rust mới nhanh hơn 40%. Phiên bản này cũng sửa hàng chục lỗi định dạng JavaScript/TypeScript, cải thiện CSS, SCSS, HTML, Angular, JSON cùng các fix cho CLI và EditorConfig.
Lập trình viên nên đọc bài này vì Prettier 3.9 cải thiện đáng kể hiệu suất và chính xác cho nhiều ngôn ngữ, đặc biệt là TypeScript (parser Rust nhanh hơn) và Markdown (tuân thủ chuẩn CommonMark), giúp tiết kiệm thời gian và tránh lỗi định dạng trong dự án.