JavaScript Web 应用程序和服务器易受 ReDoS 攻击

最新推荐文章于 2024-05-24 13:39:19 发布
最新推荐文章于 2024-05-24 13:39:19 发布
阅读量111 收藏
点赞数
文章标签: javascript ViewUI

JavaScript Web 应用程序和 Web 服务器容易受到称为正则表达式(regex)拒绝服务(ReDoS)的特定类型的漏洞/攻击。当攻击者将大量复杂的文本发送到基于 JavaScript 的 Web 服务器或应用程序的开放输入时,就会发生这些漏洞。

如果服务器组件或应用程序库不是专门设计用于处理各种边缘情况,则攻击者的输入最终会一次阻止整个应用程序或服务器几秒钟或几分钟,而服务器会分析并模式匹配输入。

各种编程语言和 Web 服务器技术在模式匹配操作和 ReDoS 攻击的性能方面存在类似的问题,由于大多数 JavaScript 服务器的单线程执行模型,每个请求都由同一个线程处理,因此在 JavaScript 的情况下它们被夸大了。

2017 年发布的后续研究显示,Node.js 库和应用程序中发现的漏洞总数中有 5% 是 ReDoS 漏洞。在上周的一次安全会议上,ReDoS 问题由于多年未得到解决,在 JavaScript 社区引起重视。来自德国达姆施塔特技术大学(Technical University in Darmstadt, Germany)的两名学者 Cristian-Alexandru Staicu 和 Michael Pradel 表示,他们在流行的 Node.js 模块中发现了 25 个以前未知的漏洞。

5a46c5bbc46207b848f593ca7903fd70070.jpg

Staicu 和 Pradel 说这些漏洞的主要原因是缺乏对正则表达式匹配性能的关注,因为大多数开发人员似乎都专注于准确性,在代码中留下了大量漏洞,攻击者可以使用 ReDoS 攻击来利用这些漏洞。

两人经过进一步研究,设计出了一种在实际网站上检测这些漏洞而无需实际使用 ReDoS 漏洞利用代码的方法。他们使用这种方法扫描 2,846 个流行的基于 Node.js 的站点,显示 339 个大约 12% 的站点容易受到至少一个 ReDoS 漏洞的攻击。研究小组表示,“ReDoS 对这些网站的可用性构成严重威胁,我们会开发用于检测和缓解 JavaScript 中 ReDoS 漏洞的技术。”

编译自:BleepingComputer

weixin_34203426
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
burp-retire-js:BurpZAPMaven扩展集成了Retire.js存储库以查找易受攻击Javascript
02-03
Retire.js(Burp插件) / 扩展,集成了存储库以查找易受攻击JavaScript库。 它被动地查看加载JavaScript文件,并根据各种签名类型(URL,文件名,文件内容或特定的哈希)识别那些易受攻击的文件。 执照 该软件在下发布。 资料下载 最近更新:2019年12月10日 Burp Suite插件: (也可在) ZAP插件: 打p插件 ZAP插件 Maven插件 使用目标scan运行Maven插件: $ cd myproject $ mvn com.h3xstream.retirejs:retirejs-maven-plugin:scan [...] [INFO] --- retirejs-maven-plugin:1.0.0-SNAPSHOT:scan (default-cli) @ myproject --- [WARNING] jquery.js contains a vulnerable JavaScript library. [INFO] Path: C:\Code\myproject\src\main\webapp\js\jquery.js
认识 JavaScript 注入攻击
weixin_30780649的博客
08-15 78
什么是 JavaScript 注入攻击? 每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。让我们研究一个容易遭受 JavaScript 注入攻击的具体应用程序。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。 客户反馈网站是一个简单的网站。不幸的是,此网站容易遭受 JavaScri...
25个恶意JavaScript 库通过NPM官方包仓库分发
smellycat000的专栏
02-23 499
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成...
影响数千网站的第三方JavaScript库文件漏洞分析
Coisini的博客
06-25 1002
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担 当前,很多网站都会使用第三方特定JavaScript库的方式来增强网站的显示应用功能,通常情况下,这种嵌入到网站中的库可以方便直接地从第三方服务提供商的域中加载,实现对当前网站的优化和功能增强。然而,这种嵌入到很多网站中的第三方库往往会是一个致命的攻击面,可以导致嵌入网站更容易...
JavaScript构建Web和ArcGISServer应用实战
07-22
资源名称:JavaScript构建Web和ArcGIS Server应用实战内容简介:ArcGIS Server是用于开发基于Web的GIS应用程序的主要平台,而Javascript已经成为在这个平台上开发应用程序的主流语言之一。《Javascript...
Myna Application Server:JavaScript Web应用程序服务器-开源
04-25
Myna是服务器JavaScript Web应用程序服务器。 尽管应用程序是用JS编写的,但是该引擎是作为Java Servlet编写的,并且可以部署在任何Java Servlet容器中或在其自己的嵌入式Tomcat实例中进行部署
alamid:可在服务器端和客户端运行的RESTful JavaScript Web应用程序框架
05-25
alamid是一个令人兴奋JavaScript实时应用程序新框架,该框架可在客户端和服务器上运行。 它管理所有捆绑和通信,因此您可以专注于自己的东西:您的应用程序。 该框架旨在减轻脱机能力和组件的重复使用。 它利用了...
调查:XSS攻击Web应用程序-研究论文
05-20
应用程序可能很容易受攻击,因此被攻击者滥用以获取客户的凭据。 交叉脚本(XSS)是Web应用程序的重大风险,因为它是对Web应用程序的基本而简单的攻击。 Xss为攻击设置了平台,例如跨站点请求会话劫持,伪造...等...
node-webserver:节点应用程序Web服务器
02-25
样本节点应用程序Web服务器 这是基本的Hello World节点应用程序Web服务器。 这用于测试容器平台构建,例如K8s,Messos(DC / OS)等。 先决条件 集装箱平台 部署方式 本地部署: docker run -d -p 80:80 saidsef/...
JavaScript加密库TweetNaCl.js.zip
07-17
TweetNaCl.js 是 TweetNaCl / NaCl 的 JavaScript 移植版本,实现了密钥认证加密、公钥认证加密、哈希和公钥签名,是一个高级的 JavaScript 加密库。 标签:TweetNaCl
JavaScript 注入攻击
web 前端
05-26 1497
什么是 JavaScript 注入攻击? 每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。让我们研究一个容易遭受 JavaScript 注入攻击的具体应用程序。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。 客户反馈网站是一个简单的网站。不幸的是,此网站容易遭受 Ja
分享 7 个和安全相关的 JS 库,让你的应用更安全
前端达人
08-14 371
JavaScript开发的世界中,安全性是保护应用程序免受潜在威胁和漏洞的至关重要。幸运的是,开源社区贡献了各种强大的安全库,可以加强JavaScript项目的安全性。在本文中,我们将探讨7个必要的JavaScript安全库,这些库都可以在GitHub上找到。1. DOMPurify这是GitHub上星标最多的库之一,拥有超过11k颗星星。这是一个强大的库,提供安全可靠的HTML过滤。它通过过滤...
openlayers绘制经纬网格,有添加或者移除功能
qq_52959651的博客
05-21 212
我的项目是vue写的,当点击多选框显示隐藏经纬网格,下面直接写代码。项目需要在地图中添加经纬网格,然后看了一下官网有相关的介绍。这是删除图层相关的网站。这是绘制经纬网格方法。
React Suspense与Concurrent Mode:异步渲染的未来
天涯学馆
05-20 1047
React的Suspense和Concurrent Mode是React 16.8及更高版本引入的概念,旨在提升用户体验和性能,特别是在处理异步数据加载和动画时。它们是React的下一代渲染策略的一部分,目的是实现更流畅的交互和更高效的资源调度。
vue 使用 export default
最新发布
global_coding的博客
05-24 291
vue 使用 export default
Vue从入门到实战Day07
ltt159264的博客
05-21 881
目标:明确vuex是什么,应用场景,优势vuex是一个vue的状态管理工具,状态就是数据。大白话:vuex是一个插件,可以帮助我们管理vue通用的数据(多组件共享的数据)①某个状态在很多个组件来使用(个人信息)②多个组件共同维护一份数据(购物车)①共同维护一份数据,数据集中化管理;②响应式变化;③操作简洁(vuex提供了一些辅助函数)。
前端开发攻略---用Vue实现无限滚动的几种方法
nibabaoo的博客
05-22 1050
用vue实现无限滚动
15 VUE学习:插槽slot
sixpp的博客
05-23 3029
如果我们将这个概念拓展一下,可以想象的是,一些组件可能只包括了逻辑而不需要自己渲染内容,视图输出通过作用域插槽全权交给了消费者组件。Vue 组件的插槽机制是受[原生 Web Component `` 元素]的启发而诞生,同时还做了一些功能拓展,这些拓展的功能我们后面会学习到。现在组件可以用在不同的地方渲染各异的内容,但同时还保证都具有相同的样式。插槽内容可以访问到父组件的数据作用域,因为插槽内容本身是在父组件模板中定义的。在上面的[渲染作用域]中我们讨论到,插槽的内容无法访问到子组件的状态。
web应用程序为什么需要web服务器来运行
06-07
Web应用程序需要Web服务器来运行,主要基于以下几个原因: 1. 处理HTTP请求和响应:Web服务器是专门用于处理HTTP请求和响应的服务器软件,它可以接收来自客户端的HTTP请求,并将请求转发给Web应用程序进行处理,最后将处理结果返回给客户端。 2. 处理并发请求:Web服务器可以同时处理多个请求,每个请求都会被分配给不同的线程或进程进行处理,这样可以提高Web应用程序的性能和可伸缩性。 3. 提高安全性:Web服务器可以对HTTP请求进行安全过滤和身份验证,防止恶意攻击和非法访问。 4. 静态文件服务:Web服务器还可以提供静态文件服务,如图片、CSS、JavaScript等文件,这些文件可以被客户端直接访问。 总之,Web服务器Web应用程序的基础设施,它提供了HTTP请求的处理和分发、并发请求处理、安全性、静态文件服务等功能,为Web应用程序的运行提供了必要的支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值