>注入漏洞(JavaScript,SQL,Mongo,HTML)
>会话固定和劫持
>跨站点漏洞(脚本,请求伪造)
>质量分配
>在这里插入相关的关注
谢谢你的帮助!
———-
我找到了一些资源:
Excellent talk (11/2012): 07000 (see slides)
ServerFault question (2011-2012): 07001
Blog post on topic (9/2012): 07002
Exploit tester: 07003
Passport Module: 07004
EveryAuth Module: 07005
解决方法
另一件事是你不能将express.js与rails比较。他们是苹果和橘子。例如,没有与Express捆绑在一起的ORM,第三方模块的实现或使用取决于您。
我会尝试并提供您的每个关注的细目。
-Injection Vulnerabilities (JavaScript,SQL,Mongo,HTML)
再次,这些是不是建立在明确的事情。最近的事情是XSS担心模板中的注入。通常用于快速输出编码的Jade或EJS模板> “’和&默认情况下,但记住有其他上下文,如用户输入JavaScript或CSS,你需要担心。
-Session fixation and hijacking
再次看到上面的博客,但Express基于和使用大多数connect中间件其中之一是会话中间件。这里最大的是正确设置你的cookie标志。
-Cross-Site Vulnerabilities (Scripting,Request Forgery)
往上看。它还带有express.csrf()中间件。所提到的博客文章显示了如何实现它。
-Mass Assignment
不是express.js的问题,因为它没有概念,这种类型的漏洞将适用,然而你写的自定义逻辑可能事实上很容易受到这个问题,所以再次是一个问题,验证你的代码是否脆弱或如果您使用的第三方模块是…
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。