npm包漏洞探究

Novlan12023-09-12 12:43

1. 开始

经常看见一些地方说某些npm包存在漏洞,具体是哪里有漏洞呢,会危害到哪方面呢,是以什么方式造成的呢?

我十分好奇,决定一探究竟,本文用来记录npm包漏洞的内部原因,会持续更新。

2. glob-parent

这个包的作用是在glob表达式中,提取非魔法字符串的部分,比如:

ts 复制代码 
var globParent = require('glob-parent');

globParent('path/to/*.js'); // 'path/to'
globParent('/root/path/to/*.js'); // '/root/path/to'
globParent('/*.js'); // '/'
globParent('*.js'); // '.'
globParent('**/*.js'); // '.'
globParent('path/{to,from}'); // 'path'
globParent('path/!(to|from)'); // 'path'

这个包被webpack-dev-serverchokidareslint等流行库使用。

该库在<5.1.2前有ReDos(Denial of service)攻击风险,个人理解就是会让执行变慢,攻击者可以使用特殊文件或字符,使服务器不能正常工作。

漏洞前的代码:

ts 复制代码 
var enclosure = /[\{\[].*[\/]*.*[\}\]]$/;

修复后的代码:

ts 复制代码 
var enclosure = /[\{\[].*[\}\]]$/;

如何检测呢,如果下面的测试用例超时,则说明存在ReDoc风险。

ts 复制代码 
it('should not be susceptible to SNYK-JS-GLOBPARENT-1016905', function(done) {
  // This will time out if susceptible.
  gp('{' + '/'.repeat(5000));

  done();
});

根本原因是正则的回溯原理,也就是.*已经包含了[\/]*,没必要再用[\/]*.*了,具体的执行步骤差异不是成倍,而是指数级的。

可以用这个网站查看两个正则解析的性能差异,上面的测试用例,修复前执行时间超过2s,修复后执行只需要0.8ms

下面是一些思考,其实我们自己写代码时,也有可能写出性能极差的正则,但是并不会被漏洞检测机构收录,可能是因为我们写的库用途不广,并不是基础库,没有被大型项目使用。

参考:

3. xlsx

这个包<0.19.3的版本都有原型污染的漏洞,另外这个库已经不在githubnpm上更新了,需要这样更新:

bash 复制代码 
npm i https://cdn.sheetjs.com/xlsx-0.19.3/xlsx-0.19.3.tgz

看了下代码,并没有找到相关的漏洞修复提交记录,不知道是不是换了个源,人们就认为它修复了呢?

参考:

4. file-type

这个包也是会引起Dos攻击,原因是读取 MKV 文件的时候处理不当,会造成无限循环。

有问题的版本为>= 17.0.0, < 17.1.3>= 13.0.0, < 16.5.4,修复的版本为17.1.316.5.4

参考:

5. ejs

ejs是个模版解析工具,被express等库使用。

首先它本身是个javascript运行时工具,开发者需要自己对数据进行校验后再进行下一步处理或输出,不能这样:

js 复制代码 
const express = require('express');
const app = express();
const PORT = 3000;
app.set('views', __dirname);
app.set('view engine', 'ejs');

app.get('/', (req, res) => {
    res.render('index', req.query);
});

app.listen(PORT, ()=> {
    console.log(`Server is running on ${PORT}`);
});

有关ejs本身的漏洞是这样的,在query中的参数没被过滤,可以直接运行,造成RCE(远程代码执行remote command/code execute)攻击。

有问题的版本为< 3.1.7,修复的版本为>= 3.1.7

参考:

6. qs

qs是字符串解析库,使用非常广泛。

关于它的一个漏洞也是原型污染类的,因为它可以用来解析对象,解决办法也很简单,就是过滤__proto__属性即可。

影响版本 修复版本
>= 6.10.0, < 6.10.3 6.10.3
>= 6.9.0, < 6.9.7 6.9.7
>= 6.8.0, < 6.8.3 6.8.3
>= 6.7.0, < 6.7.3 6.7.3
>= 6.6.0, < 6.6.1 6.6.1
>= 6.5.0, < 6.5.3 6.5.3
>= 6.4.0, < 6.4.1 6.4.1
>= 6.3.0, < 6.3.3 6.3.3
< 6.2.4 6.2.4

参考:

相关推荐
duandashuaige1 天前
解决用electron打包Vue工程(Vite)报错electron : Failed to load URL : xxx... with error : ERR _CONNECTION_REFUSED
javascript·typescript·electron·npm·vue·html
weixin_405023372 天前
包资源管理器NPM 使用
前端·npm·node.js
小于小于09123 天前
npx 与 npm 区别
前端·npm·node.js
亮子AI3 天前
【npm】npm install 产生软件包冲突怎么办?(详细步骤)
前端·npm·node.js
Rhys..4 天前
JS - npm init
开发语言·javascript·npm
夏天想4 天前
复制了一个vue的项目然后再这个基础上修改。可是通过npm run dev运行之前的老项目,发现运行的竟然是拷贝后的项目。为什么会这样?
前端·vue.js·npm
一枚前端小能手5 天前
📦 从npm到yarn到pnpm的演进之路 - 包管理器实现原理深度解析
前端·javascript·npm
scorpion_V6 天前
VScode 中执行 npm 报错的问题
ide·vscode·npm
FreeBuf_7 天前
攻击者利用Discord Webhook通过npm、PyPI和Ruby软件包构建隐蔽C2通道
前端·npm·ruby
程序铺子8 天前
如何使用 npm 安装 sqlite3 和 canvas 这些包
javascript·npm·node.js
热门推荐
01GitHub 镜像站点02BongoCat - 跨平台键盘猫动画工具03UV安装并设置国内源04Linux下V2Ray安装配置指南05GitLab 零基础入门指南:从安装到项目管理全流程06NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南07一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示08在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)092025软件测试面试八股文(含答案+文档)10XXE 注入漏洞全解析:从原理到实战