Tag: security

應該算是幾天前發生的小插曲,應該是從這邊出來的 - Npm install could be dangerous 應該是有人為了強調 npm 有潛在的危險,所以特別做一個叫 rimrafall 的套件,然後它會在你安裝之後把你的資料砍光...0rz 其實也沒什麼,就是利用 npm script 加上可能取得的 sudo 達到的。雖然可能出發點是善意的,不過似乎有引來一點小小的戰火 XDD(有興趣可以去追一下下推的後續),其實下面留言也都有提到這幾乎是所有 package manager 都存在的問題。 `rimrafall` has been taken off the @npmjs registry. Thanks to all who let us know about it.— Forrest…

不經意看到有人丟出這個關於 nodejs app 安全性的分享,順手把內容和一些相關的東西做個整理,也當作自己的筆記,之後如果有需要的話可以方便拿出來參考。 直接列結論: Ensure HTTP GET requests are idempotent - GET 不應有更改的行為,有更動行為的則要記得上 CSRF 保護 Remove X-Powered-By header and do not use generic session cookie name - 不要讓 hacker 輕易知道他要打的目標是什麼 Encode for all contexts on both server and client to protect XSS attack - 嗯,…

今天一口氣丟了兩個新版出來 - v0.10.21 和 v0.8.26,原本想說也一陣子沒看到新版出現,應該只是例行升版而已,不過看到 maintenance branch 有點怪怪的... 稍微翻了一下,主要是為了解決 DoS Issue,因為影響的層面蠻大的 - 所有 node.js http server,所以核心成員們決定在週末前釋出這個更新版,Isaac還特別寫了一篇來解釋(原來大家都有週末前不要上code的習慣阿 XDD Node core team just published v0.10.21 and v0.8.26 with an undisclosed http server security fix. Upgrade…

Do Not Use bodyParser with Express.js 有在使用express要注意一下 這個安全性的問題是幾天前有使用者發現回報的,詳細的內容可以看一下上面那篇文章。主要是express中所提供的bodyParser的方法,會處理使用者傳入的資料(json, url or file)然後主要就是上傳檔案這部份產生的問題(express.multipart),因為它會在/tmp下面產生一個暫存檔,但是卻沒有回收,所以有心人可以用這種方式灌爆你的伺服器。 What should I do? 最好的方式是趕快把express升到最新版 ;p TJ已經在3.4.0的版本中修正這個問題了 ~ 主要是把原本的formidable抽換成multiparty “Express 3.4.0 and Connect 2.9.0 have made some small changes to bodyParser()” …