Nodejs的安全学习

已于 2022-04-19 21:58:55 修改
阅读量2.3k 收藏 2
点赞数 1
分类专栏: CTF训练日记 文章标签: 安全 学习 javascript
于 2022-02-21 21:16:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/unexpectedthing/article/details/123056177
版权

文章目录

Nodejs

Nodejs的文档

http://nodejs.cn/learn

弱类型

大小写比较

跟php比较相似

console.log(1=='1'); //true
console.log(1>'2'); //false
console.log('1'<'2'); //true
console.log(111>'3'); //true
console.log("ad">"v") //false
console.log('asd'>1); //false

总结:数字与字符串比较时:会优先将纯数字型字符串转为数字之后再进行比较;

字符串与字符串比较时:会将字符串的第一个字符转为ASCII码之后再进行比较;

而非数字型字符串与任何数字进行比较都是false。

数组的比较:

console.log([]==[]); //false
console.log([]>[]); //false
console.log([]>[]); //false
console.log([6,2]>[5]); //true
console.log([100,2]<'test'); //true
console.log([1,2]<'2');  //true
console.log([11,16]<"10"); //false

**总结:**空数组之间比较永远为false,

数组与非数值型字符串比较,数组永远小于非数值型字符串;

数组与数值型字符串比较,取第一个之后按前面总结的方法进行比较。

还有一些比较特别的相等比较:

console.log(null==undefined) // 输出:true
console.log(null===undefined) // 输出:false
console.log(NaN==NaN)  // 输出:false
console.log(NaN===NaN)  // 输出:false

js大小写绕过

大小写特性(P神)

ctfshow web334

看zip中的源码

var express = require('express');
var router = express.Router();
var users = require('../modules/user').items;
 
var findUser = function(name, password){
   
  return users.find(function(item){
   
    return name!=='CTFSHOW' && item.username === name.toUpperCase() && item.password === password;
  });
};

/* GET home page. */
router.post('/', function(req, res, next) {
   
  res.type('html');
  var flag='flag_here';
  var sess = req.session;
  var user = findUser(req.body.username, req.body.password);
 
  if(user){
   
    req.session.regenerate(function(err) {
   
      if(err){
   
        return res.json({
   ret_code: 2, ret_msg: '登录失败'});        
      }
       
      req.session.loginUser = user.username;
      res.json({
   ret_code: 0, ret_msg: '登录成功',ret_flag:flag});              
    });
  }else{
   
    res.json({
   ret_code: 1, ret_msg: '账号或密码错误'});
  }  
  
});

module.exports = router;

其中

toUpperCase()是javascript中将小写转换成大写的函数。
toLowerCase()是javascript中将大写转换成小写的函数
除此之外
在Character.toUpperCase()函数中,字符ı会转变为I,字符ſ会变为S。
在Character.toLowerCase()函数中,字符İ会转变为i,字符K会转变为k。

所以直接payload(小写绕过)

输入:ctfshow和123456

ES6模板字符串

我们可以使用反引号替代括号执行函数,如:

alert`test!!`

可以用反引号替代单引号双引号,可以在反引号内插入变量,如:

var fruit = `apple`;
console.log`i like ${fruit} very much`;

事实上,模板字符串是将我们的字符串作为参数传入函数中,而该参数是一个数组,该数组会在遇到${}时将字符串进行分割,具体为下:

["i like ", " very much", raw: Array(2)]
0: "i like "
1: " very much"
length: 2
raw: (2) ["i like ", " very much"]
__proto__: Array(0)

所以有时使用反引号执行会失败,所以如下是无法执行的:

eval`alert(2)`

命令执行

ctfshow web335

最低0.47元/天 解锁文章
Node.js中的并发安全问题及解决方案
TechChamp的博客
10-03 609
然而,通过使用互斥锁、原子操作、队列或锁机制等解决方案,可以保护Node.js应用程序免受竞态条件的影响。在Node.js中,由于事件循环的单线程特性,多个请求可能会同时访问共享的变量或资源,从而引发竞态条件。Node.js是一个基于事件驱动的非阻塞I/O模型的JavaScript运行时环境,它在处理高并发请求时表现出色。然而,由于单线程的特性,Node.js在处理并发请求时可能会遇到竞态条件(Race Condition)和其他线程安全问题。标题:Node.js并发安全:保护你的应用免受竞态条件的影响。
【Node.js从基础到高级运用】十八、Node.js的安全性加固
Vip_wk的博客
03-26 828
通过上述的措施,我们可以显著提高Node.js应用的安全性,从而更好地保护用户数据和服务的稳定性。当然,这些只是安全性加固的一部分,实际应用中还需要根据具体情况采取更多的安全措施。
nodejs安全
weixin_34268753的博客
12-26 252
 1.connect中间件csrf 原理:在express框架中csrf 是通过connect 模块的中间件来解决的。其原理是在前端构造一个隐藏的表单域“_csrf” ,后端生成一个值,作为该表单域,然后在提交表单的时候,将这个值提交到后端,后端再根据这个值来比较,如果和之前的值相等的,就认为是正确的,否则就是错误的。 我们来看看代码: module.exports = function ...
Node.js系列(6)--安全实践指南
最新发布
欢迎来到这里,希望文章能对你有所帮助
03-20 557
Node.js之旅第六站
nodejs安全
qq_35264936的博客
07-11 907
nodejs安全 sql注入:窃取数据库内容 xss攻击: 窃取前端的cookie内容 密码加密:保障用户信息安全 server端攻击方式非常多,预防手段也多 通过webserver(nodejs)层面预防的 有些攻击需要硬件和服务来支持(需要op支持)如 DDOS sql注入 最原始最简单的攻击,从web2.0就有了sql注入攻击 攻击的方法: 输入一个sql片段,最终拼成一段攻击代码 执...
Node.js 安全性:最佳实践与防范措施
有我更精彩的博客
08-14 1181
在Node.js开发的过程中,安全性始终是一个不可忽视的部分。通过了解安全隐患、实施最佳实践和防范措施,开发者能够大幅降低安全风险,并为用户提供安全可靠的应用。安全性不仅仅是代码层面的事情,更是整个开发流程及运维环节的综合考量。最后问候亲爱的朋友们,并邀请你们阅读我的全新著作。
Node.js 应用开发详解13 网络安全:常见网络攻击以及防护策略
fegus的博客
09-28 1929
本讲介绍了常见的一些网络攻击方案,其次着重介绍了在 Node.js 中要注意的安全风险问题。网络攻击一般是面试中常被问及的题目,因此我们需要着重学习其原理,其次针对 Node.js 的安全问题则是你在编码过程中非常要注重的,避免在应用 Node.js 的过程中导致企业受到损失。如果你还有其他的一些安全性问题,也可以在本讲下面进行留言,我将和你一起探讨如何解决这些线上安全问题。下一讲我们将介绍一个可以轻松地协助我们来做各种性能提前校验的工具,其次会实践应用该工具融合到我们的框架中。
learning-nodejs:学习目标
05-12
安全 框架 表示 哈皮 考阿 学习GraphQL 什么是GraphQL? GraphQL 分层的 以产品为中心 强型 客户指定的查询 内省的 GraphQL初学者 查询 变异 模式和类型 验证 执行 路由 验证 分页 快取 目标 使用Node.js和...
NodeJS学习手册
12-28
NodeJS学习手册是一份专为中文用户设计的详尽教程,旨在帮助初学者和有经验的开发者深入理解和掌握NodeJS这一强大的服务器端JavaScript运行环境。NodeJS基于Chrome V8引擎,以其异步非阻塞I/O和事件驱动的特性,为...
nodejs+express+mysql学习nodejs的小项目.zip
02-22
在本项目中,“nodejs+express+mysql学习nodejs的小项目”是一个初学者友好的教程,旨在帮助开发者了解如何使用Node.js、Express框架以及MySQL数据库来构建Web应用程序。这个压缩包可能包含了源代码、配置文件和其他...
基于nodejs学习资料销售平台和微信小程序源码.zip
08-30
这是一个关于构建一个学习资料销售平台和微信小程序的项目,源码是基于Node.js技术栈实现的,同时在标签中提到了Java、jsp和springboot,这可能是后台管理系统或部分接口服务所采用的技术。下面我们将详细探讨这个...
NodeJs 安全设计规范
Nodejs
09-11 613
CSRF攻击 什么是CSRF? 跨站请求伪造,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性 一个网页通常会通过POST/PUT/DELETE请求更改对应用户...
NodeJsScan, NodeJsScan是用于 node.js 应用程序的static 安全代码扫描程序.zip
10-10
NodeJsScan, NodeJsScan是用于 node.js 应用程序的static 安全代码扫描程序 NodeJsScanstatic 安全代码扫描程序( 宋体) 用于 node.js 应用程序。如何配置在 core/settings.py 中安装Postgres并配置 SQLALCHEMY_DATABASE_URI运行 pip
nodejs的web安全示例代码|safety.zip
09-27
我也不知道为什么一定要大于50个字,这个只是文章的一个示例代码。-----------------------------------------------------------
Nodejs安全清单
Jinmindong
01-11 591
*安全是不容忽视的,**每个开发者都知道它非常重要,真正严肃对待它的却没有几人。我们 RisingStack 希望你能认真对待这一问题——这就是我们整理这份清单来帮助你的原因,你的应用在被成千上万用户使用前必须要做安全检查。这份清单大部分内容是通用的,不仅适用于Node.js,同样适用于其他语言和框架,只是一些明确给出了在Node.js中使用的方法。
nodejs后端_如何使Nodejs后端安全
编程故事的地方
01-08 1205
nodejs后端 如您所知,如今对于所有类型的初创公司来说,安全性都变得越来越重要。 作为启动所有者,首先应注意Web应用程序的安全性。 请记住,用户信任您的信息,因此您应该专业地关心他们的数据,否则,如果有人黑客您的Web应用程序并窃取了数据,您将失败并失去客户。 建立一个Saas业务或众包平台都没关系。 您收集什么样的数据都没有关系。 您必须关心平台的安全性。 我们将在本教程中介...
安全第一:保护你的 Node.js 应用免受常见攻击
一名热衷于技术的全栈开发者,专注于前端与后端的全面技术探索。在这里,我将分享我在技术领域的学习与成长,助力更多开发者的进步。
12-05 550
通过本文的学习,你应该对保护 Node.js 应用的常见方法有了清晰的了解。安全是一个不断迭代的过程。建议你在开发中始终保持安全优先的理念,及时更新依赖库,完善代码质量,并定期进行安全审计。实践起来吧,构建一个更加安全的 Node.js 应用!
node 安全
qq_56303170的博客
01-22 893
安全性 sql注入 窃取数据库的内容 最原始、最简单的攻击 攻击方式:输入一个sql片段,最终拼接成一段攻击代码 预防措施:使用mysql的escape函数处理输入内容即可 【举例】 比如一个登录网站,需要输入 账号、密码 select username,realname from users where username = '${username}' and password = '${password}'; 在sql语言中--代表注释,通过这个方法可以注释密码,那么就可以直接登录
Nodejs学习(八)---安全
邱先生的博客
12-24 299
安全问题 防止sql注入 防止xss攻击 密码加密 防止sql注入 主要通过mysql.escape,对代码中特殊字符等进行转义处理。 const mysql = require('mysql'); const escape = mysql.escape; const login = (username,password)=>{ username = escape(usernam...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值