探索Node.js安全边界:CVE-2021-21315-systeminformation深度剖析与应用

最新推荐文章于 2024-09-06 08:24:08 发布
最新推荐文章于 2024-09-06 08:24:08 发布
阅读量477 收藏 5
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00043/article/details/139590912
版权

探索Node.js安全边界:CVE-2021-21315-systeminformation深度剖析与应用

去发现同类优质开源项目:https://gitcode.com/

在日益复杂的网络环境中,系统安全成为每个开发者和运维人员关注的焦点。今天,我们将深入探讨一个针对Node.js生态系统中的特定漏洞——CVE-2021-21315,这一漏洞影响到了广受欢迎的“systeminformation”库。通过这个开源项目作为窗口,我们不仅能够学习到如何利用和防范此类漏洞,还能深入了解其背后的原理和技术细节。

项目简介

CVE-2021-21315-systeminformation 是一个围绕着System Information库中安全漏洞编写的概念验证(PoC)项目。该漏洞存在于npm包systeminformation的早期版本中,允许潜在攻击者通过不恰当的数据处理执行命令注入攻击。此PoC由一名研究者开发,旨在展示如何通过利用特定API参数来绕过防护机制,达到在目标系统上执行恶意代码的目的,从而凸显了系统参数检查的重要性。

技术分析

本项目聚焦于systeminformation库的一个核心问题:当服务参数未经严格校验直接传递给如si.inetLatency, si.services, 或 si.processLoad等函数时,可能允许非预期的输入执行系统命令。具体而言,它展示了通过构造特定的GET请求参数(如name[]而非name),可以规避简单的字符串过滤,进而实现命令注入。这得益于JavaScript解析器对数组参数的特殊处理方式,未被正确防御的代码片段可能会误将这种输入视为合法参数,导致恶意命令被执行。

应用场景与风险

在现代Web应用程序中,系统信息管理工具的用途广泛,从服务器监控到应用内诊断无不涉及。然而,一旦这些工具未能妥善处理外部数据,就可能为攻击者打开一扇门,让他们能够:

  • 内部文件窃取:获取源码或敏感配置。
  • 远程脚本执行:下载并运行恶意代码。
  • 获得控制台权限:例如发起反向Shell连接,完全控制受影响的机器。
  • 破坏系统稳定性:终止关键进程或造成服务中断。

项目特点

  • 教育价值:通过实际操作理解command injection的实际威胁及其防御机制。
  • 针对性强:明确指出了Node.js生态下特定库的安全漏洞,有助于开发者提高警惕。
  • 详细复现步骤:即使是初学者也能跟随PoC文档,了解漏洞触发和避免过程。
  • 安全警醒:提醒社区及时更新依赖,强化输入验证,以防止类似漏洞被恶意利用。

注意事项

虽然此项目提供了宝贵的洞见,但至关重要的是要强调它仅限于教育和合法的安全测试目的。任何未经授权的渗透测试都是违法行为,并且开发者需对软件的滥用后果不承担责任。

在探索和学习的过程中,让我们不断加强我们的系统安全性,共同努力构建更加健壮、安全的网络环境。通过理解并修复如CVE-2021-21315这样的漏洞,我们不仅保护了自己的应用,也为整个技术生态贡献了一份力量。

去发现同类优质开源项目:https://gitcode.com/

余靖年Veronica
关注
CVE-2021-21315 Linux sudoNode.js命令注入
weixin_47179815的博客
07-15 1613
Node.js是一个基于ChromeV8引擎的JavaScript运行环境,用于方便的搭建响应速度快、易于拓展的网络应用,它包含多种轻量级功能,可以检索详细的硬件和系统相关信息。Node使用Module模块划分不同的功能,每一个模块都包含非常丰富的函数,如http就包含了和http相关的很多函数,帮助开发者对http、tcp/udp等进行操作或创建相关服务器。...
CVE-2021-21315 NodeJs命令注入漏洞复现
wurisansheng的博客
10-11 1335
一、简介: Node.js是一个基于Chrome V8引擎的JavaScript运行环境,用于方便的搭建响应速度快、易于拓展的网络应用。Node使用Module模块划分不同的功能,每一个模块都包含非常丰富的函数,如http包含了和http相关的很多函数,帮助开发者对http、tcp、udp等进行操作或创建相关服务器。 二、漏洞描述: Node.js-systeminformation是用于获取各种信息的Node.js模块,在存在命令注入漏洞的版本中,攻击者可以通过未过滤的参数注入payload执行系统
Node.js-systeminformation-用于获取各种系统信息的Node.JS模块
08-10
包含35种轻量级功能,可以获取详细的硬件,系统和操作系统信息(支持Linux,macOS,部分Windows,FreeBSD和SunOS) - 没有npm依赖。
systeminformation:Node.JS的系统信息库
03-11
系统信息 node.js的系统和操作系统信息库 · · 这真太了不起了。 该项目最初只是一个针对我自己的小项目,现已拥有10,000行以上的代码,发布了400多个版本,每月最多3次mio下载,整体上超过30 mio下载。 感谢所有为这个项目做出贡献的人! 新版本5.0 新版本5在这里-我花了数周的时间来完成这个新版本的定稿。 非常感谢您的支持- 下一个主要版本发布5.0带有新功能,并进行了一些改进和更改(其中一些正在更改)! 添加的音频:获取详细的音频设备信息 添加了蓝牙:获取详细的蓝牙设备信息 添加了dockerImages,dockerVolumes:获取有关docker映像和卷的详细信息 添加的打印机:从检测到的打印机获取信息 添加了USB:获取详细的USB控制器和设备信息 添加了wifi接口ans连接:扩展了wifi信息 更好的uuid功能以获得唯一的硬件和操作系统UUID
systeminformation 使用指南
最新发布
gitblog_00016的博客
09-06 920
systeminformation 使用指南 systeminformationSystem Information Library for Node.JS项目地址:https://gitcode.com/gh_mirrors/sy/systeminformation 1. 项目介绍 systeminformation 是一个轻量级的 Node.js 库,它提供了超过 50 种函数来获取详尽的硬...
node.js 命令执行 (CVE-2021-21315
小小猪的博客
12-30 2201
node.js 命令执行 (CVE-2021-21315) 漏洞简介: Node.js库中的systeminformation软件包中存在一个命令注入漏洞(CVE-2021-21315)攻击者可以通过「systeminformation」中代码注入漏洞的存在意味着攻击者可以通过在组件使用的未初始化参数内小心翼翼地注入有效载荷来执行系统命令。 影响版本: Systeminformation < 5.3.1 环境搭建: 在线环境 地址 漏洞复现: 访问首页 DNSlog申请网址..
CVE-2021-1732-Exploit:CVE-2021-1732漏洞利用
03-06
**CVE-2021-1732漏洞详解** CVE-2021-1732是一个针对Microsoft Windows操作系统的重要安全漏洞,主要影响Windows 10版本1909的x64架构系统。这个漏洞是由于操作系统组件中的一个编程错误导致的,它可能被恶意攻击者...
浅谈Node.js CVE-2017-14849 漏洞分析(详细步骤)
10-19
具体受影响的组合为:Node.js 8.5.0 加上 Express 3.19.0 至 3.21.2,以及 Node.js 8.5.0 加上 Express 4.11.0 至 4.15.5。 复现这个漏洞的过程如下: 1. 首先,需要在环境中安装 Node.js 8.5.0。可以从官方发布的...
CVE-2021-21972:CVE-2021-21972
03-04
CVE-2021-21972 描述 vSphere Client(HTML5)在vCenter Server插件中包含一个远程执行代码漏洞。 具有网络访问端口443的恶意行为者可能会利用此问题在托管vCenter Server的基础操作系统上以不受限制的特权执行命令...
centos7-sudo-1.9.9.rpm包。修复CVE-2021-3156,Sudo堆缓冲区溢出漏洞
01-30
此为centos7版的最新sudo-1.9.9.rpm包,修复修复CVE-2021-3156漏洞。 升级步骤: 1、将RPM包上传到服务器上, 2、执行升级命令: # rpm -Uvh sudo-1.9.9-1.el7.x86_64.rpm 3、执行完毕后,查询sudo版本: # sudo -V
Node.js命令注入漏洞(CVE-2021-21315)复现
玄道的网安博客
04-09 2992
简介 Node.js-systeminformation是用于获取各种系统信息的Node.JS模块,它包含多种轻量级功能,可以检索详细的硬件和系统相关信息。 影响版本 Systeminformation < 5.3.1 环境搭建 这里用node10.16.0进行测试 源码下载 git clone https://github.com/ForbiddenProgrammer/CVE-2021-21315-PoC.git nodejs开启http...
systemInformation:一组用于整理环境中系统信息的脚本,以及一些 html 和 js 文件,以有用的格式显示信息
06-05
系统信息 一组脚本,用于整理有关环境中系统的信息,以及一些 html 和 js 文件以以有用的格式显示信息。 收集信息的脚本对物理系统的组织和环境中的技术选择做出了许多假设。 此外,收集脚本和显示格式包含了许多关于拥有组织的假设。 这些应该是相对可配置的,后面会详细介绍。 前端文件可以完全独立于收集脚本使用,前提是从您的组织收集的数据可以组装成以下格式的 javascript 文件: var systems = { "servers": [ { "name": "xxx", "ipAddr": "10.10.10.10", "state": "running", // or "shut" "cpus": "96", "maxMem": "33325056", "usedMem": "33325031", "own
system-details:NPM软件包可显示系统的所有详细信息
05-11
系统细节 完整的node.js系统信息库 安装 通过git克隆或使用npm(推荐方式): npm install -g system-details 并且系统详细信息将全局安装到您的系统路径。 您还可以将system-details安装为开发依赖项: npm install --save-dev system-details 使用本地安装时,系统详细信息将在您的系统路径中不可用,并且不能仅通过system-details命令运行。 用法 如果将system-details作为全局软件包安装,只需使用以下命令运行它: system-details 如果将system-details作为开发依赖项安装,请在npm脚本中调用它来运行。 编辑package.json文件: " scripts " : { " system-details " : " ./node_modules/
CVE-2021-21315v2
05-07
CVE-2021-21315系统信息 这是的概念证明,它影响到的系统信息库(npm程序包“ systeminformation”)。 “请务必检查或清理传递给si.inetLatency(),si.inetChecksite(),si.services(),si.processLoad()的服务参数...仅允许使用字符串,拒绝任何数组。字符串清理如预期般运作。” 因为它并没有很好地解释漏洞(我认为),所以我决定根据系统信息的易受攻击的版本来编写小型应用程序。 PoC包含: 使用明确的易受攻击的系统信息测试Node.js中制作的应用 简单测试有效负载即可在受影响的计算机上创建.txt文件 重现步骤: 在Linux服务器环境上运行应用程序 向site.com/api/getServices?name=nginx发出GET请求(nginx只是示例) 现在尝试发送这样的请求:yours
CVE-2021-21315-PoC:CVE 2021-21315 PoC
03-03
CVE-2021-21315系统信息 这是的概念证明,它影响到的系统信息库(npm程序包“ systeminformation”)。 “请务必检查或清理传递给si.inetLatency(),si.inetChecksite(),si.services(),si.processLoad()的服务参数...仅允许使用字符串,拒绝任何数组。字符串清理如预期般运作。” 因为没有很好地解释漏洞(我认为),所以我决定根据系统信息的漏洞版本编写小型应用程序。 PoC包含: 使用明确的易受攻击的系统信息测试Node.js中制作的应用 简单测试有效负载即可在受影响的计算机上创建.txt文件 重现步骤: 在Linux服务器环境上运行应用程序 向site.com/api/getServices?name=nginx发出GET请求(nginx只是示例) 现在尝试发送这样的请求:yoursite.co
SystemInformation:显示系统信息
05-01
系统信息 显示系统信息。
Node.Js命令执行漏洞(CVE-2021-21315)复现及排查
dayouzi的博客
08-15 1886
Node.js是一个基于Chrome V8引擎的JavaScript运行环境,用于方便的搭建响应速度快、易于拓展的网络应用。Node使用Module模块划分不同的功能,每一个模块都包含非常丰富的函数,如http就包含了和http相关的很多函数,帮助开发者对http、tcp/udp等进行操作或创建相关服务器。Node.js-systeminformation是用于获取各种系统信息的Node.js模块,在存在命令注入漏洞的版本中,攻击者可以通过未过滤的参数中注入payload执行系统命令。
CVE-2020-16898: Windows操作系统 TCP-IP远程执行代码漏洞
weixin_38896449的博客
12-03 724
这里写目录标题1.漏洞描述2.影响版本3.漏洞排查4.漏洞利用5.漏洞修复 1.漏洞描述 10月,微软官方发布安全公告,修复了Windows操作系统内的TCP/IP远程代码执行漏洞(CVE-2020-16898)。攻击者可通过发送特制的ICMPv6 Router Advertisement(路由通告)数据包至远程Windows主机,即可在目标主机上执行任意代码。 漏洞风险:严重 2.影响版本 Windows 10 version 1709/1803/1809/1903/1909/2004 Windows S
春秋云镜 CVE-2021-21315
qq_22002773的博客
08-16 442
春秋云镜 CVE-2021-21315
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

余靖年Veronica

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值