Node.js 目录穿越漏洞(CVE-2017-14849)
漏洞分析
原因是 Node.js 8.5.0 对目录进行normalize操作时出现了逻辑错误,导致向上层跳跃的时候(如../../../../../../etc/passwd),在中间位置增加foo/../(如../../../foo/../../../../etc/passwd),即可使normalize返回/etc/passwd,但实际上正确结果应该是../../../../../../etc/passwd。
express这类web框架,通常会提供了静态文件服务器的功能,这些功能依赖于norma
原创
2020-06-21 11:29:13 ·
2035 阅读 ·
0 评论