位置: 编程技术 - 正文
Node.js中安全调用系统命令的方法(避免注入安全漏洞)(node.js安装模式选择)
编辑:rootadmin推荐整理分享Node.js中安全调用系统命令的方法(避免注入安全漏洞)(node.js安装模式选择),希望有所帮助,仅作参考,欢迎阅读内容。
文章相关热门搜索词:node js api,node js api,node安全框架,nodejs anywhere,node安全框架,nodejs安全性,nodejs 安全,node安全性,内容如对您有帮助,希望把文章链接给更多的朋友!
在这篇文章中,我们将学习正确使用Node.js调用系统命令的方法,以避免常见的命令行注入漏洞。
我们经常使用的调用命令的方法是最简单的child_process.exec。它有很一个简单的使用模式;通过传入一段字符串命令,并把一个错误或命令处理结果回传至回调函数中。
这里是你通过child_process.exec调用系统命令一个非常典型的例子。
不过,当你需要在你调用的命令中添加一些用户输入的参数时,会发生什么?显而易见的解决方案是把用户输入直接和您的命令进行字符串合并。但是,我多年的经验告诉我:当你将连接的字符串从一个系统发送到另一个系统时,总有一天会出问题。
为什么连接字符串会出问题?
嗯,因为在child_process.exec引擎下,将调用执行"/bin/sh"。而不是目标程序。已发送的命令只是被传递给一个新的"/bin/ sh'进程来执行shell。 child_process.exec的名字有一定误导性 - 这是一个bash的解释器,而不是启动一个程序。这意味着,所有的shell字符可能会产生毁灭性的后果,如果直接执行用户输入的参数。
比如,攻击者可以使用一个分号";"来结束命令,并开始一个新的调用,他们可以使用反引号或$()来运行子命令。还有很多潜在的滥用。
那么什么是正确的调用方式?
execFile / spawn
像spawn和execFile采用一个额外的数组参数,不是一个shell环境下可以执行其他命令的参数,并不会运行额外的命令。
让我们使用的execFile和spawn修改一下之前的例子,看看系统调用有何不同,以及为什么它不容易受到命令注入。
child_process.execFile
运行的系统调用
child_process.spawn
使用 spawn 替换的例子很相似。
运行的系统调用
当使用spawn或execfile时,我们的目标是只执行一个命令(参数)。这意味着用户不能运行注入的命令,因为/bin/ls并不知道如何处理反引号或pipe或;。它的/bin/bash将要解释的是那些命令的参数。它类似于使用将参数传入SQL查询(parameter),如果你熟悉的话。
但还需要警告的是:使用spawn或execFile并不总是安全的。例如,运行 /bin/find,并传入用户输入参数仍有可能导致系统被攻陷。 find命令有一些选项,允许读/写任意文件。
所以,这里有一些关于Node.js运行系统命令的指导建议:
避免使用child_process.exec,当需要包含用户输入的参数时更是如此,请牢记。尽量避免让用户传入参数,使用选择项比让用户直接输入字符串要好得多。如果你必须允许用户输入参数,请广泛参考该命令的参数,确定哪些选项是安全的,并建立一个白名单。
Node.js实现的简易网页抓取功能示例 现今,网页抓取已经是一种人所共知的技术了,然而依然存在着诸多复杂性,简单的网页爬虫依然难以胜任Ajax轮训、XMLHttpRequest,WebSockets,FlashSockets等
node.js实现BigPipe详解 BigPipe是Facebook开发的优化网页加载速度的技术。网上几乎没有用node.js实现的文章,实际上,不止于node.js,BigPipe用其他语言的实现在网上都很少见。以
node.js中实现同步操作的3种实现方法 众所周知,异步是得天独厚的特点和优势,但同时在程序中同步的需求(比如控制程序的执行顺序为:func1-func2-func3)也是很常见的。本文就是对这个问
标签: node.js安装模式选择
本文链接地址:https://www.jiuchutong.com/biancheng/374264.html 转载请保留说明!