環(huán)境搭建-NodeJS-解析安裝&庫安裝

Node.js是運行在服務(wù)端的JavaScript
文檔參考：https://www.w3cschool.cn/nodejs/
Nodejs安裝：https://nodejs.org/en
三方庫安裝
express：Express是一個簡潔而靈活的node.js Web應(yīng)用框架
body-parser：node.js中間件，用于處理 JSON, Raw, Text和URL編碼的數(shù)據(jù)。
cookie-parser：這就是一個解析Cookie的工具。通過req.cookies可以取到傳過來的cookie，并把它們轉(zhuǎn)成對象。
multer：node.js中間件，用于處理 enctype=“multipart/form-data”（設(shè)置表單的MIME編碼）的表單數(shù)據(jù)。
mysql：Node.js來連接MySQL專用庫，并對數(shù)據(jù)庫進行操作。

安裝命令：

npm i express
npm i body-parser
npm i cookie-parser
npm i multer
npm i mysql

相關(guān)代碼鏈接：百度云鏈接

安全問題-NodeJS-注入&RCE&原型鏈

1、SQL注入&文件操作
2、RCE執(zhí)行&原型鏈污染
2、NodeJS黑盒無代碼分析
實戰(zhàn)測試NodeJS安全：
判斷：參考前期的信息收集
黑盒：通過對各種功能和參數(shù)進行payload測試
白盒：通過對代碼中寫法安全進行審計分析
-原型鏈污染
如果攻擊者控制并修改了一個對象的原型，(proto)
那么將可以影響所有和這個對象來自同一個類、父祖類的對象。

案例分析-NodeJS-CTF題目&源碼審計

1、CTFSHOW幾個題目
https://ctf.show/ Web334-344
https://f1veseven.github.io/2022/04/03/ctf-nodejs-zhi-yi-xie-xiao-zhi-shi/
2、YApi管理平臺漏洞
https://blog.csdn.net/weixin_42353842/article/details/127960229

#開發(fā)指南-NodeJS-安全SecGuide項目
https://github.com/Tencent/secguide

打包器-WebPack-使用&安全

參考：https://mp.weixin.qq.com/s/J3bpy-SsCnQ1lBov1L98WA
Webpack是一個模塊打包器。在Webpack中會將前端的所有資源文件都作為模塊處理。它將根據(jù)模塊的依賴關(guān)系進行分析，生成對應(yīng)的資源。便于后期開發(fā)和維護
五個核心概念:

1. 【入口(entry)】：指示webpack應(yīng)該使用哪個模塊，來作為構(gòu)建內(nèi)部依賴圖開始。
2. 【輸出(output)】：在哪里輸出文件，以及如何命名這些文件。
3. 【Loader】：處理那些非JavaScript文件（webpack 自身只能解析 JavaScript和json）。webpack 本身只能處理JS、JSON模塊，如果要加載其他類型的文件(模塊)，就需要使用對應(yīng)的loader。
4. 【插件(plugins)】：執(zhí)行范圍更廣的任務(wù)，從打包到優(yōu)化都可以實現(xiàn)。
5. 【模式(mode)】：有生產(chǎn)模式production和開發(fā)模式development。

使用：

1、創(chuàng)建需打包文件 2、安裝webpack庫 3、創(chuàng)建webpack配置文件 4、運行webpack打包命令

安全：
1、WebPack源碼泄漏-模式選擇

生產(chǎn)模式：黑盒測試看不到源代碼
開發(fā)模式：造成源碼泄露

示例

2、模糊提取安全檢查-PacketFuzzer
https://github.com/rtcatc/Packer-Fuzzer

原生態(tài)JS：前端語言直接瀏覽器顯示源代碼
NodeJS：服務(wù)段語言瀏覽器不顯示源代碼
WebPack：打包模式選擇開發(fā)者模式后會造成源碼泄漏（nodejs vue）

第三方庫-JQuery-使用&安全

jQuery是一個快速、簡潔的JavaScript框架,是一個豐富的JavaScript代碼庫。設(shè)計目的是為了寫更少的代碼，做更多的事情。它封裝JavaScript常用功能代碼，提供一種簡便的JavaScript設(shè)計模式，優(yōu)化HTML文檔操作、事件處理、動畫設(shè)計和Ajax交互。

1、使用：
引用路徑：https://www.jq22.com/jquery-info122
2、安全：
檢測：http://research.insecurelabs.org/jquery/test/
測試：CVE-2020-11022/CVE-2020-11023
參考：https://blog.csdn.net/weixin_44309905/article/details/120902867文章來源地址http://www.zghlxwxcb.cn/news/detail-676703.html

到了這里，關(guān)于安全開發(fā)-JS應(yīng)用&NodeJS指南&原型鏈污染&Express框架&功能實現(xiàn)&審計&WebPack打包器&第三方庫JQuery&安裝使用&安全檢測的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！