软件包已经下载了700万次,但是项目维护者认为大多数用户不受影响
安全研究人员发现,Express-Fileupload库中的缺陷使黑客可以对Node.js服务器进行原型污染攻击。
Express-fileupload,一个带有超过700万下载的Node.js软件包,启用应用程序可以处理在Web应用程序中上传的文件。beplay体育能用吗
该漏洞是在图书馆的最新版本中修补的,为拒绝服务(DOS)攻击和在某些情况下是远程外壳访问打开了大门。
JavaScript,Node.js的编程语言,使用原型来定义对象的功能和属性。原型污染攻击利用这种特征来操纵应用程序的行为。
Express-Fileupload有一个parsenestest从上载文件创建嵌套对象结构的选项。When the option is turned on, an attacker can use carefully crafted filenames in beplay体育能用吗web requests to stage prototype pollution attacks.
在他的博客文章,被称为“posix’显示如何利用漏洞使Node.js服务器崩溃并在每个请求上返回内部服务器错误,从而导致拒绝服务。
外壳访问
根据POSIX的说法,该错误也可用于攻击其他库,例如流行EJS模板引擎,通常与Express-Fileupload结合使用。
攻击者可以使用Express-Fileupload污染EJS的outputFunctionName参数并获得shell访问node.js服务器。
“我的帖子说明了如何通过EJS获得外壳,” Posix告诉每日swbeplay2018官网ig,补充说,这种攻击不仅限于EJS。“由于原型污染可以改变各种上下文的流程,因此仅添加一些引用的模块可以为攻击者创造许多可能性。”
瑕疵是在posix之后固定的报告它向Express-Fileupload的开发商。维护Node.js包的理查德·吉尔奇(Richard Girges)告诉每日swbeplay2018官网ig图书馆的大多数用户可能不受漏洞的影响。
“这个特定问题仅适用于打开的用户parsenestest他解释说。“默认情况下,此选项不在默认情况下,因为它用于解决多部分请求的处理方式。
“一旦我们意识到了漏洞,我们就发布了一个修复程序(从初始报告开始大约15个小时github)。我们还注明了NPM注册表中先前版本的Express-Fileupload的弃用通知,因为这是通知用户需要升级包装的最有效方法。”
根据POSIX的说法,EJS仍然容易受到原型污染攻击的影响。
污染的用户输入
EJS库的维护者Matthew Eernisse告诉Matthew Eernisse,他说:“ EJS确实竭尽全力将传递给模板传递给模板的数据分开。”每日swbeplay2018官网ig,添加outputFunctionName(POSIX的概念验证中利用的属性)是一个选项,不应通过潜在的污染用户输入来解决。
他补充说:“我们当然无法控制人们如何选择使用EJ,如果他们以选项的方式传递了不动力的用户输入数据,所有赌注都关闭了。”
受安全研究人员所做的类似工作的启发MichałBentkowski,Posix正在使用NPM模块分析在Node.js应用程序中找到现实世界原型污染错误,当时他找到了Express-Fileupload错误。
“漏洞CTF和其他安全竞赛中通常可以解决JavaScript原型或特征。但是在现实世界中,很少研究已经完成了,” Posix说。
“受污染的原型可以影响独立于其范围的所有应用领域。我认为我们需要对这项技术的更多研究。”
