写点什么

Node 安全项目要进一步提升 Node.js 的安全性

  • 2014-07-02
  • 本文字数:886 字

    阅读完需:约 3 分钟

为了增强 Node.js 的安全性,Node 安全项目已经默默地工作了几个月的时间。这个项目审查 Node.js 现有的模块的目标是 ,帮助“改善 Node 生态圈,增强开发人员和企业对 Node.js 领域安全性的信心。”

这个项目计划通过一个标签系统以分布式方式执行本次审查,该系统提供了处理咨询、问题以及拉动需求的骨架,这样就可以在 Node 社区的帮助下完善模块了。

Node.js 的主要安全担忧之一就是服务端 JavaScript 注入(SSJS 注入)的可能性,它类似于跨站 JavaScript 注入。Adobe 的高级安全研究员 Bryan Sullivan发表了一篇论文,在文中解释了一些运用 SSJS 注入的攻击手段,使应用程序和数据暴露在风险之下。

这里需要提一下,相比于跨站脚本攻击,利用服务端 JavaScript 注入漏洞的方式与 SQL 注入更加相似。SSJS 注入不像跨站脚本攻击那样需要以社会工程找一个中间事主,而它用随意产生的 HTTP 请求就可以直接攻击应用程序了。

有一个博客作者\0/ bish \0/,他自称自己是个安全狂热分子,他写道,开发人员需要特别注意Node.js 中的很多因素。第一个是eval 语句,“它很容易被用来进行服务端注入”。另一个是“事件驱动的单线程编程模型”,因为它,“一个简单的错误就会导致整个服务瘫痪”。他补充说,“为了安全,应该避免像隐式全局变量、with 语句、eval 语句这样的反模式 。”他也在博文中展示了一些示例,它们都是因为错误地使用了编程语言的特性而被利用的。

所以,较之其他技术Node.js 从本质上并不缺少安全性,因为上面提到的这些威胁,在其他广泛应用于服务端的语言中也同样存在。而正如Adam Baldwin 在 Modulus 公司的一次访谈中提到,这件事情的本质是提升开发人员对影响 Node 平台的安全关注的意识。

Node 安全项目致力于改变 node 社区解决安全问题的方式,它集中力量传播安全原则,审查社区开发的模块,并公布结果。

参考英文原文: Node Security Project Aims at Making Node.js More Secure


感谢夏雪对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ )或者腾讯微博( @InfoQ )关注我们,并与我们的编辑和其他读者朋友交流。

2014-07-02 23:483260
用户头像

发布了 77 篇内容, 共 37.9 次阅读, 收获喜欢 26 次。

关注

评论

发布
暂无评论
发现更多内容

ARM和X86云服务器的算力对比

Python研究所

签约计划

AI年中钜惠来袭—全场低至6折 企业新客1元优享福利翻倍

百度大脑

福利 Iphone12

我厂与张家港市达成全面战略合作,共推数据中心和城市智能化转型

百度大脑

数据中心 城市智能化

编曲新手可以用什么编曲软件?

奈奈的杂社

编曲 编曲宿主 编曲软件

论证:iOS安全性,为什么需要审核?

37手游iOS技术运营团队

ios SIP Sandbox iOS Developer ios安全

🔎【Java 源码探索】深入浅出的分析ThreadLocal

码界西柚

Java 多线程 ThreadLocal 5月日更 ThreadLocalMap

python脚本编写——自动剪切移动文件夹

YUKI0506

服务可达,达者为先,产品发布会嘉宾精彩观点分享!

博睿数据

博睿数据 数据链DNA 服务可达

Fabric | 自动化神器

Python研究所

签约计划

牛x运维常用的工具系列-1

运维研习社

运维 工具分享 5月日更

MPP大规模并行处理架构详解

五分钟学大数据

大数据 MPP 5月日更

100W点击 10w人获取,阿里Java高级面试题及答案 到底有多强

???

面试 java真题分享

中国呼叫中心与卓越客服产业峰会,百度智能客服再提行业创新

百度大脑

解决方案 行业创新

Bugless 异常监控系统 (iOS端)

37手游iOS技术运营团队

ios iOS Developer 崩溃分析 bugless

百余大企业共赴新文明之约:2021 DEMO WORLD 世界创新峰会拉开帷幕

创业邦

创新

🔎【Java源码探索】深入浅出的分析HashMap(JDK8)

码界西柚

Java 源码 源码分析 hashmap 5月日更

面阿里P7,竟问这么简单的题目?

Java架构师迁哥

公安局重点人员研判分析系统解决方案

OKR 八问 —— 关于 OKR 的常见问题与思考

CODING DevOps

团队管理 DevOps OKR

云原生加速落地,金融行业应用上云来打样儿

BoCloud博云

云原生

列举出常见的Java面试题,我靠这个在春招拿到了阿里的offer

???

面试 Java面经 java真题分享

使用Docker运行DataX定时全量备份关键数据表

白粥

DataX 数据表备份

40K成功入职:六年开发终获小米Offer(附面经+面试题+答案详解)

Java架构师迁哥

如何评估 Serverless 服务能力?这份报告给出了 40 条标准

Serverless Devs

云计算 云原生 Forrester Wave #Serverless

Vue-1-初识

Python研究所

签约计划

MeterSphere | 超好用的开源测试平台

Python研究所

签约计划

脉脉3小时转发65w次!这份Java面试宝典发生了什么?

Java架构师迁哥

走向机器智能时代:移动机器人的困局与创新

晨山资本

机器人 移动机器人 AMR

从零开始学习ThingJS之创建App对象

ThingJS数字孪生引擎

可视化 3D可视化 数字孪生

1小时内被全网疯转 29.8w 次,最终被所有大V协力封杀!

Java架构师迁哥

获5项大奖,发布《云计算开放应用架构标准》,阿里云持续领航云原生

阿里巴巴中间件

云计算 最佳实践 云原生 案例 白皮书

Node安全项目要进一步提升Node.js的安全性_安全_Sergio De Simone_InfoQ精选文章