Node.js服务器中存在安全漏洞
我有网站运行在node.js&express服务器上。我了解到该网站存在以下漏洞。
远程攻击者可以发送巧尽心思构建的HTTP请求,并强制其针对某些流量边缘模式对错误连接进行日志记录语句。这会导致并发使用内存池进行单独的连接,并引发影响。
利用HTTP报头的间隔会在服务器进程中造成溢出,从而覆盖堆栈的一部分,通过覆盖下一个操作的字节来倒回请求处理。
一旦对暴露的endpoint进行相应的精心编制;环境就会失灵。
我搜索了一下这个漏洞,知道是因为Apache HTTP服务器版本有漏洞。但我的网站是在nginx上运行的,而不是在Apache上。
我已经使用nginx将我的应用程序端口从3000转发到80。
为了安全起见,网站也有cloudflare设置。
如何减轻此漏洞?
共有1个答案
首先,CVE明确指出
- 受影响的软件:Apache httpd
- 版本:2.4.20至2.4.43
- 必须启用跟踪/调试。
所以,不管后端是Node.js还是其他什么东西。而且您使用的是nginx,而不是Apache HTTP,所以这对您来说并不重要。但是如果您使用apache,那么只要升级到>2.4.43就可以解决这个问题。Apache httpd 2.4.46于2020年发布,因此如果您正在使用Apache,升级它是有意义的。
-
问题内容: 我们发生内存泄漏,这导致节点服务器的进程内存不足。有什么建议/工具可以帮助我们进行调试? 问题答案: 您是否正在运行最新最好的node.js v0.3.8? 但我相信您可以使用https://github.com/dannycoates/node- inspector 检测泄漏。
-
Navicat 为你的服务器提供安全性管理工具。你可以新建、编辑、删除用户、授予或撤消在已选择的数据库及它们的数据库对象的权限。点击 来打开 用户 的对象列表。对象列表窗格显示全部存在于服务器中的用户。
-
问题内容: 我读过,为避免在nodejs中缓存,必须使用: 但是我不知道如何使用它,因为当我在代码中添加该行时会出错。 我的功能(我认为我必须不编程缓存)是: 有人知道如何在我的代码中不放置任何缓存吗?谢谢 问题答案: 您已经编写了标题。我认为您完成此操作后无法添加更多内容,因此只需将标题放在第一个对象中即可。
-
本文向大家介绍针对OpenSSL安全漏洞调整Nginx服务器的方法,包括了针对OpenSSL安全漏洞调整Nginx服务器的方法的使用技巧和注意事项,需要的朋友参考一下 1. 概述 当前爆出了Openssl漏洞,会泄露隐私信息,涉及的机器较多,环境迥异,导致修复方案都有所不同。不少服务器使用的Nginx,是静态编译 opensssl,直接将openssl编译到nginx里面去了,这就意味着,
-
保护Web服务器安全非常重要,这意味着只允许其他人查看部分信息并保护数据并限制访问。 这些是增强Apache Web服务器安全性的常见内容。 1. 隐藏Apache版本和操作系统信息 Apache显示其版本和操作系统名称错误,如下面的屏幕截图所示。 黑客可以使用此信息使用特定版本的服务器或操作系统中的公开漏洞发起攻击。为了防止Apache webserver显示此信息,我们可以通过修改apache
-
问题内容: 是否有一些工具可以检测Node.js中的内存泄漏?并告诉我您在测试nodejs应用程序方面的经验。 问题答案: 以下工具对于发现内存泄漏很有用: 节点检查器 还有一个教程可以帮助您在此处查找内存泄漏: https://github.com/felixge/node-memory-leak- tutorial