报名参加CloudWeGo黑客松,奖金直推双丰收! 了解详情
写点什么

Node 安全项目要进一步提升 Node.js 的安全性

  • 2014-07-02
  • 本文字数:886 字

    阅读完需:约 3 分钟

为了增强 Node.js 的安全性,Node 安全项目已经默默地工作了几个月的时间。这个项目审查 Node.js 现有的模块的目标是 ,帮助“改善 Node 生态圈,增强开发人员和企业对 Node.js 领域安全性的信心。”

这个项目计划通过一个标签系统以分布式方式执行本次审查,该系统提供了处理咨询、问题以及拉动需求的骨架,这样就可以在 Node 社区的帮助下完善模块了。

Node.js 的主要安全担忧之一就是服务端 JavaScript 注入(SSJS 注入)的可能性,它类似于跨站 JavaScript 注入。Adobe 的高级安全研究员 Bryan Sullivan发表了一篇论文,在文中解释了一些运用 SSJS 注入的攻击手段,使应用程序和数据暴露在风险之下。

这里需要提一下,相比于跨站脚本攻击,利用服务端 JavaScript 注入漏洞的方式与 SQL 注入更加相似。SSJS 注入不像跨站脚本攻击那样需要以社会工程找一个中间事主,而它用随意产生的 HTTP 请求就可以直接攻击应用程序了。

有一个博客作者\0/ bish \0/,他自称自己是个安全狂热分子,他写道,开发人员需要特别注意Node.js 中的很多因素。第一个是eval 语句,“它很容易被用来进行服务端注入”。另一个是“事件驱动的单线程编程模型”,因为它,“一个简单的错误就会导致整个服务瘫痪”。他补充说,“为了安全,应该避免像隐式全局变量、with 语句、eval 语句这样的反模式 。”他也在博文中展示了一些示例,它们都是因为错误地使用了编程语言的特性而被利用的。

所以,较之其他技术Node.js 从本质上并不缺少安全性,因为上面提到的这些威胁,在其他广泛应用于服务端的语言中也同样存在。而正如Adam Baldwin 在 Modulus 公司的一次访谈中提到,这件事情的本质是提升开发人员对影响 Node 平台的安全关注的意识。

Node 安全项目致力于改变 node 社区解决安全问题的方式,它集中力量传播安全原则,审查社区开发的模块,并公布结果。

参考英文原文: Node Security Project Aims at Making Node.js More Secure


感谢夏雪对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ )或者腾讯微博( @InfoQ )关注我们,并与我们的编辑和其他读者朋友交流。

2014-07-02 23:483229
用户头像

发布了 77 篇内容, 共 37.7 次阅读, 收获喜欢 26 次。

关注

评论

发布
暂无评论
发现更多内容

保利物业:这样构建数智化,从容超越“内卷之困”

用友BIP

PKG系统安装包及IPSW固件:MacOS 11-14 正式版

你的猪会飞吗

MacOS 14 Sonoma mac系统下载 mca软件下载

鸿蒙跨端实践-JS虚拟机架构实现

京东科技开发者

Web3 游戏周报(9.22 - 9.28)

Footprint Analytics

链游

使用Yasboot安装YashanDB的疑惑和建议

YashanDB

yashandb 崖山数据库 yasboot

纳尼?自建K8s集群日志收集还能通过JMQ保存到JES

京东科技开发者

1大成果、2个联盟、3大先锋、N个发布!超聚变全方位助力算力强国建设

业界

携手豆包大模型,创维酷开以AI加速OTT场景智能化

新消费日报

开课啦!北大-用友CIO/CDO数智化进阶课程正式启航

用友BIP

My Sony LUT Pack(索尼相机lut预设包)

Rose

专为Mac用户设计的实时音乐分离插件 Acon Digital Remix

Rose

智源研究院推出全球首个中文大模型辩论平台FlagEval Debate

智源研究院

SD-WAN可以替代MPLS吗?

Ogcloud

SD-WAN 企业组网 SD-WAN组网 SD-WAN服务商 SD-WAN国际专线

干货 | 数据新闻从业者常用工具盘点

八爪鱼采集器︱RPA机器人

爬虫 数据 采集

家居零售企业的数智人力战略升级,用友BIP超级版精选案例

用友BIP

阿里巴巴API与电商创新:商品详情获取的新方法

技术冰糖葫芦

API 接口 API 测试 API 优先 pinduoduo API

干货 | 日采100W新闻数据,如何实现新闻自动分类

八爪鱼采集器︱RPA机器人

爬虫 数据 采集

数智化转型进行时:业界共话大模型应用创新实践

极客天地

国有企业推行末等调整和不胜任退出制度路径指引

用友BIP

Mac 版 Neural Filters for Photoshop 逆天滤镜库 无需登陆Adobe Id

Rose

如何利用 StarRocks 加速 Iceberg 数据湖的查询效率

镜舟科技

数据湖 查询优化 iceberg StarRocks

淘宝商品详情数据接口:挖掘电商数据的关键通道

tbapi

淘宝商品详情数据接口 淘宝API接口 淘宝商品详情数据采集 淘宝商品详情数据分析

如何用八爪鱼采集与ChatGPT分析电商评论数据?

八爪鱼采集器︱RPA机器人

爬虫 采集

AE插件能量激光描边光效特效Saber Mac/win v1.0.40汉化激活版

Rose

中文汉化版AE动画导出json工具 Bodymovin

Rose

2024云栖大会资料精选,《云原生+AI核心技术&最佳实践》PPT全量放送!

阿里巴巴云原生

阿里云 云原生

实时语音交互,打造更加智能便捷的应用

HarmonyOS SDK

HarmonyOS

人工智能与伦理:如何确保AI应用中的隐私保护

天津汇柏科技有限公司

AI 伦理 隐私保护 AI 人工智能

同风起,耀星河!华为携手伙伴一起创造无限可能

OpenHarmony开发者

Node安全项目要进一步提升Node.js的安全性_安全_Sergio De Simone_InfoQ精选文章