本地文件读取和RCE错误已链接到Express.js和车把使用
可以利用Node.js Web应用程序框架中的漏洞来实现beplay体育能用吗远程代码执行(RCE)。
公开自称“想成为”安全研究人员Shoeb“ CaptainFreak” Patel1月23日,研究表明Express.js可能容易受到本地文件读取错误的影响。当与旧版本的车把引擎结合使用时,也可以利用此缺陷来远程执行恶意代码。
车把是用于Web应用程序的流行模板引擎。beplay体育能用吗
讲话每日swbeplay2018官网ig,帕特尔说他决定寻找漏洞在Node.js,Express.js和车把上,由于他熟悉了作为开发人员的代码。
“依赖地狱”
在一个技术写作帕特尔说,上周,他“偶然发现”一个关键的本地文件阅读安全问题,该问题仅需要少于10行代码将其变成潜在的RCE利用。
这开发人员说他们对这个错误“感到惊讶和幻灭”,将责任归咎于'依赖性地狱' - 当软件依靠的情况下,经历了一个共同的发展问题冲突依赖性。
帕特尔说:“说实话,我不应该那么惊讶。”“内置模块,依赖项和软件包的背叛一直是引入众多安全错误的原因。这是软件安全性的重复主题。”
为了确定他的发现是否是“已知问题”,帕特尔创建了捕获旗(CTF)竞赛在Twitter上并与Web安全性,CTF竞赛,软件工程和Bug Bounty组的同事分享。beplay体育能用吗
四名参与者成功找到了标志,即“秘密”布局参数。在进一步调查了node.js中的奇数,帕特尔发现可以通过阅读“从根视图目录 +布局中读取扩展名的任何文件,然后将其传递给车把,这使我们在编译了我们完全控制的给定文件之后为我们提供了HTML。”
然后可以使用某些先决条件触发RCE,包括使用车把版本4.0.3及以下。这些版本中的脆弱性允许原型污染和RCE有效载荷创造,如图所示Mahmoud Gamal的RCE有效载荷。此问题已在车把版本4.1.2、4.0.14及以后进行了修补。
帕特尔(Patel)说,潜在的现实世界应用程序包括通过RCE折衷的服务器,或者至少是由本地文件读取漏洞引起的信息和源代码泄漏。
帕特尔评论说:“我写了这篇文章,以便整个Nodejs和Web开发社区都知道这个堆栈中这种古怪的beplay体育能用吗行为。”
你可能也会喜欢Windows 7复活了Blind TCP/IP劫持
