npm 的安全性 - rimrafall

應該算是幾天前發生的小插曲,應該是從這邊出來的 - Npm install could be dangerous 應該是有人為了強調 npm 有潛在的危險,所以特別做一個叫 rimrafall 的套件,然後它會在你安裝之後把你的資料砍光...0rz 其實也沒什麼,就是利用 npm script 加上可能取得的 sudo 達到的。雖然可能出發點是善意的,不過似乎有引來一點小小的戰火 XDD( »

Make your nodejs app more security

不經意看到有人丟出這個關於 nodejs app 安全性的分享,順手把內容和一些相關的東西做個整理,也當作自己的筆記,之後如果有需要的話可以方便拿出來參考。 直接列結論: Ensure HTTP GET requests are idempotent - GET 不應有更改的行為,有更動行為的則要記得上 CSRF 保護 Remove X-Powered-By header and do not »

Node.JS v0.10.21 & v0.8.26 for DoS Issue

今天一口氣丟了兩個新版出來 - v0.10.21 和 v0.8.26,原本想說也一陣子沒看到新版出現,應該只是例行升版而已,不過看到 maintenance branch 有點怪怪的... 稍微翻了一下,主要是為了解決 DoS Issue,因為影響的層面蠻大的 - 所有 node.js http server, »

Security Issue in express.js

Do Not Use bodyParser with Express.js 有在使用express要注意一下 這個安全性的問題是幾天前有使用者發現回報的,詳細的內容可以看一下上面那篇文章。主要是express中所提供的bodyParser的方法,會處理使用者傳入的資料(json, url or file)然後主要就是上傳檔案這部份產生的問題(express.multipart),因為它會在/tmp下面產生一個暫存檔,但是卻沒有回收,所以有心人可以用這種方式灌爆你的伺服器。 What should I »