位置: 编程技术 - 正文

Node.js中安全调用系统命令的方法(避免注入安全漏洞)(node.js安装模式选择)

编辑:rootadmin

推荐整理分享Node.js中安全调用系统命令的方法(避免注入安全漏洞)(node.js安装模式选择),希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:node js api,node js api,node安全框架,nodejs anywhere,node安全框架,nodejs安全性,nodejs 安全,node安全性,内容如对您有帮助,希望把文章链接给更多的朋友!

在这篇文章中,我们将学习正确使用Node.js调用系统命令的方法,以避免常见的命令行注入漏洞。

我们经常使用的调用命令的方法是最简单的child_process.exec。它有很一个简单的使用模式;通过传入一段字符串命令,并把一个错误或命令处理结果回传至回调函数中。

这里是你通过child_process.exec调用系统命令一个非常典型的例子。

不过,当你需要在你调用的命令中添加一些用户输入的参数时,会发生什么?显而易见的解决方案是把用户输入直接和您的命令进行字符串合并。但是,我多年的经验告诉我:当你将连接的字符串从一个系统发送到另一个系统时,总有一天会出问题。

为什么连接字符串会出问题?

嗯,因为在child_process.exec引擎下,将调用执行"/bin/sh"。而不是目标程序。已发送的命令只是被传递给一个新的"/bin/ sh'进程来执行shell。 child_process.exec的名字有一定误导性 - 这是一个bash的解释器,而不是启动一个程序。这意味着,所有的shell字符可能会产生毁灭性的后果,如果直接执行用户输入的参数。

比如,攻击者可以使用一个分号";"来结束命令,并开始一个新的调用,他们可以使用反引号或$()来运行子命令。还有很多潜在的滥用。

那么什么是正确的调用方式?

Node.js中安全调用系统命令的方法(避免注入安全漏洞)(node.js安装模式选择)

execFile / spawn

像spawn和execFile采用一个额外的数组参数,不是一个shell环境下可以执行其他命令的参数,并不会运行额外的命令。

让我们使用的execFile和spawn修改一下之前的例子,看看系统调用有何不同,以及为什么它不容易受到命令注入。

child_process.execFile

运行的系统调用

child_process.spawn

使用 spawn 替换的例子很相似。

运行的系统调用

当使用spawn或execfile时,我们的目标是只执行一个命令(参数)。这意味着用户不能运行注入的命令,因为/bin/ls并不知道如何处理反引号或pipe或;。它的/bin/bash将要解释的是那些命令的参数。它类似于使用将参数传入SQL查询(parameter),如果你熟悉的话。

但还需要警告的是:使用spawn或execFile并不总是安全的。例如,运行 /bin/find,并传入用户输入参数仍有可能导致系统被攻陷。 find命令有一些选项,允许读/写任意文件。

所以,这里有一些关于Node.js运行系统命令的指导建议:

避免使用child_process.exec,当需要包含用户输入的参数时更是如此,请牢记。尽量避免让用户传入参数,使用选择项比让用户直接输入字符串要好得多。如果你必须允许用户输入参数,请广泛参考该命令的参数,确定哪些选项是安全的,并建立一个白名单。

Node.js实现的简易网页抓取功能示例 现今,网页抓取已经是一种人所共知的技术了,然而依然存在着诸多复杂性,简单的网页爬虫依然难以胜任Ajax轮训、XMLHttpRequest,WebSockets,FlashSockets等

node.js实现BigPipe详解 BigPipe是Facebook开发的优化网页加载速度的技术。网上几乎没有用node.js实现的文章,实际上,不止于node.js,BigPipe用其他语言的实现在网上都很少见。以

node.js中实现同步操作的3种实现方法 众所周知,异步是得天独厚的特点和优势,但同时在程序中同步的需求(比如控制程序的执行顺序为:func1-func2-func3)也是很常见的。本文就是对这个问

标签: node.js安装模式选择

本文链接地址:https://www.jiuchutong.com/biancheng/374264.html 转载请保留说明!

上一篇:详谈nodejs异步编程(nodejs 异步任务队列)

下一篇:Node.js实现的简易网页抓取功能示例(node.js怎么样)

  • 主营业务税金及附加怎么算
  • 小规模纳税人增值税申报表怎么填
  • 采购商品成本包括
  • 广告制作税目
  • 期末结转增值税
  • 员工报销公司是哪个部门
  • 什么是居民纳税人
  • 工伤医疗费用个人社保卡支付找谁报销
  • 固定资产弃置费用计入什么科目
  • 开办费所得税清缴时如何调整
  • 银行存款支付比例怎么算
  • 税控盘这个月没有反写会怎么样
  • 过路费是地税还是国税
  • 工资薪金支出怎么调整
  • 个人所得税税费种认定功能在哪里
  • 房产税免收范围包括
  • 关于环保税的计税依据
  • 餐饮业是否可以开专用发票
  • 建筑业小规模纳税人认定标准
  • 专用发票抵扣联丢失怎么办最新规定
  • 如何检验发票真伪
  • 在会计中加速折旧的方法
  • 技术服务费进项票会计分录
  • 资产减值损失能否在所得税税前扣除
  • 什么样的公司可以交五险一金
  • 企业短期投资交增值税吗
  • 其他货币资金明细科目有哪些
  • u盘如何进行杀毒
  • 辅导费是什么
  • 华硕s5am7700
  • 电脑开机时出现用户账户控制提示
  • 所得税和所得税税率
  • uniapp route
  • php获取本机ip地址
  • php traits
  • 相见恨晚求下联
  • 注册教育培训机构需要哪些手续
  • vue中使用md5加密
  • vue中是如何划分的,每个区域的作用是什么
  • html文档基本结构包括哪几部分
  • 库存现金清零
  • Laravel 5.3 学习笔记之 错误&日志
  • php接收post
  • 股权收购账务处理
  • 发票作废申请书模板
  • 加工票可以抵扣吗
  • 个税赡养老人专项扣除 多人
  • 金税盘发票作废失败09D13D
  • 补开上年发票的税务处理要怎么做?
  • 帝国cms使用手册
  • mustn't be allowed
  • 小企业销售商品时,确认收入的标志有
  • 凭证字号和凭证编号一样吗
  • 会计中应收账款属于什么科目
  • 基建结束后该做哪些工作
  • 质量管理体系认证证书
  • 多交的社保退回多久能到账
  • 预提费用处理
  • 存货跌价准备的计算
  • 工程款发票怎么做分录
  • 用友现金流量明细表
  • 发票提前开能入费用吗?
  • linux系统文件压缩命令
  • adguard安全性
  • win7开机出现标志后就重启
  • linux 配置中文
  • win8如何使用word
  • win7系统怎么禁用win键
  • win7 ctrl+alt+del
  • 如何查看win7系统
  • win7更新显卡驱动后黑屏的解决方法
  • 噩梦act2
  • linux搭建php运行环境
  • 并行 python
  • python操作db2数据库
  • 朵朵舞百科
  • android 加密算法
  • 江苏省税务局书记局长
  • 小微企业契税政策
  • 税额差怎么计算
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设