背景 Node.js 社区近期在美国独立日周末的狂欢之时爆出漏洞 https://medium.com/@iojs/important-security-upgrades-for-node-js-and-io-js-8ac14ece5852 先给出一段会触发该漏洞的代码 直接在v0.12.4版本的node上运行,立即crash. 下面我们详细的分析下该漏洞的原理. 调用栈 上面的代码构造了一个长度为1025的buffer,然后调用该buffer的toString方法解码成utf8字符,平时开发中…

2.1 摘要 2.1.1 漏洞介绍 漏洞名称: Exploiting Node.js deserialization bug for Remote Code Execution 漏洞CVE id: CVE-2017-594 漏洞类型: 代码执行 Node.js存在反序列化远程代码执行漏洞,若不可信的数据传入unserrialize()函数,通过传递立即调用函数表达式(IIFE)的JavaScript对象可以实现任意代码执行.并且Node.js服务端必须存在接收序列的数据接口 2.1.2 漏洞环境…

0x00 前言 早上看Sec-news安全文摘的时候,发现腾讯安全应急响应中心发表了一篇文章,Node.js CVE-2017-14849 漏洞分析(https://security.tencent.com/index.php/blog/msg/121),然后想着复现,学习学习,就有了这篇文章. 0x01 漏洞简介 CVE(http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14849)上面的描述是这样的: Node.js 8.5.0 b…

0x00 前言 早上看Sec-news安全文摘的时候,发现腾讯安全应急响应中心发表了一篇文章,Node.js CVE-2017-14849 漏洞分析(https://security.tencent.com/index.php/blog/msg/121),然后想着复现,学习学习,就有了这篇文章. 0x01 漏洞简介 CVE(http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14849)上面的描述是这样的: Node.js 8.5.0 b…

本篇文章较为详细的讲述了通过node.js的已知漏洞来完成渗透测试的过程,介绍了node.js存在的漏洞可以在多种工具下的不同利用方式.因为我认为会对论坛部分web安全新手有所帮助,所以整理到论坛中. PentestingNode.js Application : Nodejs Application Security 原文地址:http://www.websecgeeks.com/2017/04/pentesting-nodejs-application-nodejs.html 由prison…

PentestingNode.js Application : Nodejs Application Security 原文地址:http://www.websecgeeks.com/2017/04/pentesting-nodejs-application-nodejs.html 由prison翻译整理,首发i春秋. 引言: 由于原文地址在墙外,所以做下简介: 本篇文章较为详细的讲述了通过node.js的已知漏洞来完成渗透测试的过程,介绍了node.js存在的漏洞可以在多种工具下的不同利用方式…

原文 Node.js Interview Questions for 2017 什么是error-first callback? 如何避免无止境的callback? 什么是Promises? 用什么工具来保证代码的一致性风格? 为什么保持一致性风格很重要? When should you npm and when yarn? 什么是stub? 举个例子! 什么是test pyramid? 举个例子! 你喜欢哪个HTTP框架,为什么? 如何保护你的HTTP cookies 不遭受XSS攻击? 如何…

今天有一个类似网络爬虫的需求,本来打算用我还算熟悉的asp或者asp.NET来做这个事情,但是写了这么长时间js,asp的语法实在不喜欢,VS又早被我卸掉了,思来想去打算用一下最近比较火的Node.js试一试. 倒腾了一整晚,很有必要为之文以志之下.O(∩_∩)O~ 一.安装node.js http://nodejs.org/命令行 node -v 可以测试是否安装成功 二.使用npm安装其他库 (Node Package Manager)程序开发中需要安装一些Nodejs提供的基本的模块之外的…

这篇文章来自 Github 上的一位开发者收集整理的 Node.js 中文学习资料和教程导航.Node 是一个服务器端 JavaScript 解释器,它将改变服务器应该如何工作的概念,它的目标是帮助程序员构建高度可伸缩的应用程序.这些参考资料和教程能够帮助你更好的掌握 Node.js 的应用. 您可能感兴趣的相关文章 10大流行的 Metro UI 风格 Bootstrap 主题 推荐35款精致的 CSS3 和 HTML5 网页模板 让人爱不释手的精美 Web 应用程序图标素材 赞!10套精美的…

Node.js HomePage Infoq深入浅出Node.js系列(进阶必读) Node.js中文文档 被误解的 Node.js Node.js C++ addon编写实战系列 热门node.js模块排行榜,方便找出你想要的模块 nodejs多线程,真正的非阻塞 浅析nodejs的buffer类 利用libuv编写异步多线程的addon实例 Node.js中exports与module.exports的区别 Node.js http 管道拒绝服务漏洞 Node.js高级编程 Node.js代…