npm包漏洞探究

Novlan12023-09-12 12:43

1. 开始

经常看见一些地方说某些npm包存在漏洞,具体是哪里有漏洞呢,会危害到哪方面呢,是以什么方式造成的呢?

我十分好奇,决定一探究竟,本文用来记录npm包漏洞的内部原因,会持续更新。

2. glob-parent

这个包的作用是在glob表达式中,提取非魔法字符串的部分,比如:

ts 复制代码 
var globParent = require('glob-parent');

globParent('path/to/*.js'); // 'path/to'
globParent('/root/path/to/*.js'); // '/root/path/to'
globParent('/*.js'); // '/'
globParent('*.js'); // '.'
globParent('**/*.js'); // '.'
globParent('path/{to,from}'); // 'path'
globParent('path/!(to|from)'); // 'path'

这个包被webpack-dev-serverchokidareslint等流行库使用。

该库在<5.1.2前有ReDos(Denial of service)攻击风险,个人理解就是会让执行变慢,攻击者可以使用特殊文件或字符,使服务器不能正常工作。

漏洞前的代码:

ts 复制代码 
var enclosure = /[\{\[].*[\/]*.*[\}\]]$/;

修复后的代码:

ts 复制代码 
var enclosure = /[\{\[].*[\}\]]$/;

如何检测呢,如果下面的测试用例超时,则说明存在ReDoc风险。

ts 复制代码 
it('should not be susceptible to SNYK-JS-GLOBPARENT-1016905', function(done) {
  // This will time out if susceptible.
  gp('{' + '/'.repeat(5000));

  done();
});

根本原因是正则的回溯原理,也就是.*已经包含了[\/]*,没必要再用[\/]*.*了,具体的执行步骤差异不是成倍,而是指数级的。

可以用这个网站查看两个正则解析的性能差异,上面的测试用例,修复前执行时间超过2s,修复后执行只需要0.8ms

下面是一些思考,其实我们自己写代码时,也有可能写出性能极差的正则,但是并不会被漏洞检测机构收录,可能是因为我们写的库用途不广,并不是基础库,没有被大型项目使用。

参考:

3. xlsx

这个包<0.19.3的版本都有原型污染的漏洞,另外这个库已经不在githubnpm上更新了,需要这样更新:

bash 复制代码 
npm i https://cdn.sheetjs.com/xlsx-0.19.3/xlsx-0.19.3.tgz

看了下代码,并没有找到相关的漏洞修复提交记录,不知道是不是换了个源,人们就认为它修复了呢?

参考:

4. file-type

这个包也是会引起Dos攻击,原因是读取 MKV 文件的时候处理不当,会造成无限循环。

有问题的版本为>= 17.0.0, < 17.1.3>= 13.0.0, < 16.5.4,修复的版本为17.1.316.5.4

参考:

5. ejs

ejs是个模版解析工具,被express等库使用。

首先它本身是个javascript运行时工具,开发者需要自己对数据进行校验后再进行下一步处理或输出,不能这样:

js 复制代码 
const express = require('express');
const app = express();
const PORT = 3000;
app.set('views', __dirname);
app.set('view engine', 'ejs');

app.get('/', (req, res) => {
    res.render('index', req.query);
});

app.listen(PORT, ()=> {
    console.log(`Server is running on ${PORT}`);
});

有关ejs本身的漏洞是这样的,在query中的参数没被过滤,可以直接运行,造成RCE(远程代码执行remote command/code execute)攻击。

有问题的版本为< 3.1.7,修复的版本为>= 3.1.7

参考:

6. qs

qs是字符串解析库,使用非常广泛。

关于它的一个漏洞也是原型污染类的,因为它可以用来解析对象,解决办法也很简单,就是过滤__proto__属性即可。

影响版本 修复版本
>= 6.10.0, < 6.10.3 6.10.3
>= 6.9.0, < 6.9.7 6.9.7
>= 6.8.0, < 6.8.3 6.8.3
>= 6.7.0, < 6.7.3 6.7.3
>= 6.6.0, < 6.6.1 6.6.1
>= 6.5.0, < 6.5.3 6.5.3
>= 6.4.0, < 6.4.1 6.4.1
>= 6.3.0, < 6.3.3 6.3.3
< 6.2.4 6.2.4

参考:

相关推荐
whale fall9 小时前
npm install安装的node_modules是什么
前端·npm·node.js
做梦都在学习前端13 小时前
发布一个monaco-editor 汉化包
前端·npm·vite
墨菲安全2 天前
NPM组件 betsson 等窃取主机敏感信息
前端·npm·node.js·软件供应链安全·主机信息窃取·npm组件投毒
聪聪的学习笔记3 天前
【1】确认安装 Node.js 和 npm版本号
前端·npm·node.js
whale fall4 天前
npm install安装不成功(node:32388)怎么解决?
前端·npm·node.js
Gazer_S4 天前
【公司环境下发布个人NPM包完整教程】
前端·npm·node.js
溪i4 天前
pnpm 升级
npm
你喜欢喝可乐吗?4 天前
Windows 安装 nodejs npm
前端·npm·node.js
come112344 天前
npm 命令入门指南(前端小白版)
前端·npm·node.js
墨菲安全4 天前
NPM组件 alan-baileys 等窃取主机敏感信息
前端·npm·node.js·npm组件·恶意包·主机信息窃取
热门推荐
01Java学习第十五部分——MyBatis02集群聊天服务器---MySQL数据库的建立03Coze扣子平台完整体验和实践(附国内和国际版对比)04基于odoo17的设计模式详解---装饰模式05使用Ruby接入实时行情API教程06扣子(coze)实战|我用扣子搭建了一个自动分析小红薯笔记内容的AI应用|详细步骤拆解07Everything文件检索工具 几秒检索几百G的文件08基于odoo17的设计模式详解---单例模式09DeepSeek各版本说明与优缺点分析10【无标题】