安全开发-JS应用&NodeJS指南&原型链污染&Express框架&功能实现&审计&WebPack打包器&第三方库JQuery&安装使用&安全检测

阿里云国内75折 回扣 微信号:monov8
阿里云国际,腾讯云国际,低至75折。AWS 93折 免费开户实名账号 代冲值 优惠多多 微信号:monov8 飞机:@monov6

文章内容

环境搭建-NodeJS-解析安装&库安装

Node.js是运行在服务端的JavaScript
文档参考https://www.w3cschool.cn/nodejs/
Nodejs安装https://nodejs.org/en
三方库安装
expressExpress是一个简洁而灵活的node.js Web应用框架
body-parsernode.js中间件用于处理 JSON, Raw, Text和URL编码的数据。
cookie-parser这就是一个解析Cookie的工具。通过req.cookies可以取到传过来的cookie并把它们转成对象。
multernode.js中间件用于处理 enctype=“multipart/form-data”设置表单的MIME编码的表单数据。
mysqlNode.js来连接MySQL专用库并对数据库进行操作。

安装命令

npm i express
npm i body-parser
npm i cookie-parser
npm i multer
npm i mysql

相关代码链接百度云链接

安全问题-NodeJS-注入&RCE&原型链

1、SQL注入&文件操作
2、RCE执行&原型链污染
2、NodeJS黑盒无代码分析
实战测试NodeJS安全
判断参考前期的信息收集
黑盒通过对各种功能和参数进行payload测试
白盒通过对代码中写法安全进行审计分析
-原型链污染
如果攻击者控制并修改了一个对象的原型(proto)
那么将可以影响所有和这个对象来自同一个类、父祖类的对象。

案例分析-NodeJS-CTF题目&源码审计

1、CTFSHOW几个题目
https://ctf.show/ Web334-344
https://f1veseven.github.io/2022/04/03/ctf-nodejs-zhi-yi-xie-xiao-zhi-shi/
2、YApi管理平台漏洞
https://blog.csdn.net/weixin_42353842/article/details/127960229

#开发指南-NodeJS-安全SecGuide项目
https://github.com/Tencent/secguide

打包器-WebPack-使用&安全

参考https://mp.weixin.qq.com/s/J3bpy-SsCnQ1lBov1L98WA
Webpack是一个模块打包器。在Webpack中会将前端的所有资源文件都作为模块处理。它将根据模块的依赖关系进行分析生成对应的资源。便于后期开发和维护
五个核心概念:

  1. 【入口(entry)】指示webpack应该使用哪个模块来作为构建内部依赖图开始。
  2. 【输出(output)】在哪里输出文件以及如何命名这些文件。
  3. 【Loader】处理那些非JavaScript文件webpack 自身只能解析 JavaScript和json。webpack 本身只能处理JS、JSON模块如果要加载其他类型的文件(模块)就需要使用对应的loader。
  4. 【插件(plugins)】执行范围更广的任务从打包到优化都可以实现。
  5. 【模式(mode)】有生产模式production和开发模式development。

使用

1、创建需打包文件 2、安装webpack库 3、创建webpack配置文件 4、运行webpack打包命令

安全
1、WebPack源码泄漏-模式选择

生产模式黑盒测试看不到源代码
开发模式造成源码泄露

示例
在这里插入图片描述

2、模糊提取安全检查-PacketFuzzer
https://github.com/rtcatc/Packer-Fuzzer
在这里插入图片描述
原生态JS前端语言直接浏览器显示源代码
NodeJS服务段语言浏览器不显示源代码
WebPack打包模式选择开发者模式后会造成源码泄漏nodejs vue

第三方库-JQuery-使用&安全

jQuery是一个快速、简洁的JavaScript框架,是一个丰富的JavaScript代码库。设计目的是为了写更少的代码做更多的事情。它封装JavaScript常用功能代码提供一种简便的JavaScript设计模式优化HTML文档操作、事件处理、动画设计和Ajax交互。

1、使用
引用路径https://www.jq22.com/jquery-info122
2、安全
检测http://research.insecurelabs.org/jquery/test/
测试CVE-2020-11022/CVE-2020-11023
参考https://blog.csdn.net/weixin_44309905/article/details/120902867

阿里云国内75折 回扣 微信号:monov8
阿里云国际,腾讯云国际,低至75折。AWS 93折 免费开户实名账号 代冲值 优惠多多 微信号:monov8 飞机:@monov6
标签: NodeJS
返回列表

上一篇:开发新能源的好处

下一篇:java解析json树形数据

“安全开发-JS应用&NodeJS指南&原型链污染&Express框架&功能实现&审计&WebPack打包器&第三方库JQuery&安装使用&安全检测” 的相关文章

基于nodejs+vue教学师生互动答疑系统1年前 (2023-02-04)
关于 NodeJs 处理超长字符串问题的分析1年前 (2023-02-11)
nodejs学习笔记(八)—— stream1年前 (2023-03-09)
Nodejs 发送 TCP 消息的正确姿势1年前 (2023-03-10)
轻量级CI/CD发布部署环境搭建及使用_05_jenkins配置jdk、nodejs、maven、python21年前 (2023-03-24)
NodeJS 实战系列:模块设计与文件分类1年前 (2023-03-24)
nodeMQ 基于nodejs和Redis的开源消息队列系统1年前 (2023-03-28)
Docker部署Golang+Gin和Python+Tornado后端和NodeJS+Web框架1年前 (2023-04-09)
npm,nodejs如何升级1年前 (2023-04-24)
Nodejs后端架构基础知识和案例展示1年前 (2023-04-24)

阿里云国际版