位置: 编程技术 - 正文

Node.js中安全调用系统命令的方法(避免注入安全漏洞)(node.js安装模式选择)

编辑:rootadmin

推荐整理分享Node.js中安全调用系统命令的方法(避免注入安全漏洞)(node.js安装模式选择),希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:node js api,node js api,node安全框架,nodejs anywhere,node安全框架,nodejs安全性,nodejs 安全,node安全性,内容如对您有帮助,希望把文章链接给更多的朋友!

在这篇文章中,我们将学习正确使用Node.js调用系统命令的方法,以避免常见的命令行注入漏洞。

我们经常使用的调用命令的方法是最简单的child_process.exec。它有很一个简单的使用模式;通过传入一段字符串命令,并把一个错误或命令处理结果回传至回调函数中。

这里是你通过child_process.exec调用系统命令一个非常典型的例子。

不过,当你需要在你调用的命令中添加一些用户输入的参数时,会发生什么?显而易见的解决方案是把用户输入直接和您的命令进行字符串合并。但是,我多年的经验告诉我:当你将连接的字符串从一个系统发送到另一个系统时,总有一天会出问题。

为什么连接字符串会出问题?

嗯,因为在child_process.exec引擎下,将调用执行"/bin/sh"。而不是目标程序。已发送的命令只是被传递给一个新的"/bin/ sh'进程来执行shell。 child_process.exec的名字有一定误导性 - 这是一个bash的解释器,而不是启动一个程序。这意味着,所有的shell字符可能会产生毁灭性的后果,如果直接执行用户输入的参数。

比如,攻击者可以使用一个分号";"来结束命令,并开始一个新的调用,他们可以使用反引号或$()来运行子命令。还有很多潜在的滥用。

那么什么是正确的调用方式?

Node.js中安全调用系统命令的方法(避免注入安全漏洞)(node.js安装模式选择)

execFile / spawn

像spawn和execFile采用一个额外的数组参数,不是一个shell环境下可以执行其他命令的参数,并不会运行额外的命令。

让我们使用的execFile和spawn修改一下之前的例子,看看系统调用有何不同,以及为什么它不容易受到命令注入。

child_process.execFile

运行的系统调用

child_process.spawn

使用 spawn 替换的例子很相似。

运行的系统调用

当使用spawn或execfile时,我们的目标是只执行一个命令(参数)。这意味着用户不能运行注入的命令,因为/bin/ls并不知道如何处理反引号或pipe或;。它的/bin/bash将要解释的是那些命令的参数。它类似于使用将参数传入SQL查询(parameter),如果你熟悉的话。

但还需要警告的是:使用spawn或execFile并不总是安全的。例如,运行 /bin/find,并传入用户输入参数仍有可能导致系统被攻陷。 find命令有一些选项,允许读/写任意文件。

所以,这里有一些关于Node.js运行系统命令的指导建议:

避免使用child_process.exec,当需要包含用户输入的参数时更是如此,请牢记。尽量避免让用户传入参数,使用选择项比让用户直接输入字符串要好得多。如果你必须允许用户输入参数,请广泛参考该命令的参数,确定哪些选项是安全的,并建立一个白名单。

Node.js实现的简易网页抓取功能示例 现今,网页抓取已经是一种人所共知的技术了,然而依然存在着诸多复杂性,简单的网页爬虫依然难以胜任Ajax轮训、XMLHttpRequest,WebSockets,FlashSockets等

node.js实现BigPipe详解 BigPipe是Facebook开发的优化网页加载速度的技术。网上几乎没有用node.js实现的文章,实际上,不止于node.js,BigPipe用其他语言的实现在网上都很少见。以

node.js中实现同步操作的3种实现方法 众所周知,异步是得天独厚的特点和优势,但同时在程序中同步的需求(比如控制程序的执行顺序为:func1-func2-func3)也是很常见的。本文就是对这个问

标签: node.js安装模式选择

本文链接地址:https://www.jiuchutong.com/biancheng/374264.html 转载请保留说明!

上一篇:详谈nodejs异步编程(nodejs 异步任务队列)

下一篇:Node.js实现的简易网页抓取功能示例(node.js怎么样)

  • 微信支付宝等三方支付平台余额属于货币资金吗
  • 建筑业收到预收款预缴增值税
  • 公司贷款利息怎么做分录
  • 出纳发票不见了可以用微信转账记录记账吗
  • 已认证专票有误怎么回事
  • 预付账款和暂估入账的区别
  • 企业一直亏损但是汇算清缴调增
  • 月末结存材料的实际成本怎么计算
  • 债券作为交易性金融资产的账务处理
  • 未取得发票如何进应付暂估科目
  • 开办费用属于什么科目
  • 个人给公司垫付款起诉状
  • 公司外来人员进入公司
  • 个人代垫公司费用微信转账如何报销
  • 股权收购的好处
  • 公司账户转个人账户限额
  • 贸易行业要计提什么费用
  • 7.1增值税普通发票怎么开?
  • 机票抵扣增值税怎么计算民航发展基金
  • 公司注销要给钱吗
  • 超市预付卡发票如何入账
  • 财务会计怎么学好
  • 营业外收入有哪些情况
  • 小企业成本核算方法移动加权平均法
  • 主管会计的具体工作
  • 公司暂估成本过高,如何处理
  • 浏览器显示英语怎么设置成中文
  • linux系统中的文件访问权限包括几种
  • 同一张发票可以分两次报销吗
  • 实例简介php的一般过程
  • xshell怎么用vim
  • 增值税减免后按3%记提税款吗
  • 企业股权投资收益缴纳什么税
  • 小微企业所得税税收优惠政策2023年
  • php匿名函数为何不匿名
  • ctu指令
  • 农产品加计扣除1%怎么计算和会计分录
  • php读取文件内容的方法和函数
  • 已交土地使用金的划拨商品房与商品房的的区别
  • wordpress 自动生成文章
  • wordpress隐藏内容付费可见
  • mysql数据库最新版
  • mongodb27017
  • 委托代销商品支付的手续费计入什么科目
  • 公司安排异地培训
  • 现金折扣的账务处理最新
  • 工资单应该盖什么章
  • 企业长期零申报
  • 企业所得税季初和季末怎么算
  • 苹果macos安装
  • 代扣代缴个人所得税账务处理
  • 分公司挣的钱归谁所有
  • 海关双抬头进口增值税发票如何抵扣
  • 电子承兑背书一般多久到账
  • 长期应付账款是什么
  • 企业发行债券的优点有哪些
  • 申报抵扣
  • 企业每月营业额达多少需要交税
  • 经营杠杆系数的经济含义
  • 企业买车购置税可以抵增值税吗
  • 小规模纳税人手工帐怎么做
  • 红酒礼品盒批发
  • SQL Server 2016 CTP2.3 的关键特性总结
  • sql实用教程
  • server2008 无法启动
  • cocos2d解密
  • jquery和原生js性能
  • perl -p -e
  • c#+unity3d
  • unity3D游戏开发
  • shell获取命令报错信息
  • linux怎么使用c语言
  • 从零开始学什么好
  • unity入门教学
  • javascript函数的定义
  • javascript面向对象 第三方类库
  • javascript面向对象编程指南第三版
  • 详解16型人格
  • 河南省低保信息查询
  • 个人开具农产品普通发票
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设