Node.js模板引擎渲染原理及潜在隐患有哪些?
- 内容介绍
- 文章标签
- 相关推荐
本文共计3755个文字,预计阅读时间需要16分钟。
在当前背景下,无实验经验成员在梳理Node.js原型链污染漏洞时,发现漏洞可结合模板引擎的渲染效果影响远程命令执行。原因是原型链污染使得攻击者能够修改全局对象的原型,进而影响模板引擎的渲染过程,最终可能导致远程命令执行。
一、背景此前,无恒实验室成员在对nodejs原型链污染漏洞进行梳理时,发现原型链污染漏洞可结合模板引擎的渲染达到远程命令执行的效果。为什么原型链污染能结合模板引擎能达到这样的效果?模板引擎究竟是如何
一、背景
此前,无恒实验室成员在对nodejs原型链污染漏洞进行梳理时,发现原型链污染漏洞可结合模板引擎的渲染达到远程命令执行的效果。为什么原型链污染能结合模板引擎能达到这样的效果?模板引擎究竟是如何工作的?除了原型链污染,还有其他方式也能达到同样的效果吗?带着这样的疑问,无恒实验室成员决定对nodejs模板引擎的内在机制进行一些探索。
二、Nodejs模板引擎现状
目前Javascript生态圈里面的模板引擎非常之多,各引擎的实现原理及特性都不尽相同,很难找到一款功能丰富、书写简单、前后端共用的模板引擎,因此有开发者设立了一个根据不同需求挑选不同引擎的网站garann.github.io/template-chooser。
根据npm的官方数据,目前较受欢迎的模板引擎下载量分别如图2所示。无恒实验室根据已有的服务端引擎框架,挑选了目前下载量较大,开发者常用的几种模板引擎进行分析,发现模板引擎的渲染原理基本上都差不多,只是在一些细节的处理方式不太一致。
本文共计3755个文字,预计阅读时间需要16分钟。
在当前背景下,无实验经验成员在梳理Node.js原型链污染漏洞时,发现漏洞可结合模板引擎的渲染效果影响远程命令执行。原因是原型链污染使得攻击者能够修改全局对象的原型,进而影响模板引擎的渲染过程,最终可能导致远程命令执行。
一、背景此前,无恒实验室成员在对nodejs原型链污染漏洞进行梳理时,发现原型链污染漏洞可结合模板引擎的渲染达到远程命令执行的效果。为什么原型链污染能结合模板引擎能达到这样的效果?模板引擎究竟是如何
一、背景
此前,无恒实验室成员在对nodejs原型链污染漏洞进行梳理时,发现原型链污染漏洞可结合模板引擎的渲染达到远程命令执行的效果。为什么原型链污染能结合模板引擎能达到这样的效果?模板引擎究竟是如何工作的?除了原型链污染,还有其他方式也能达到同样的效果吗?带着这样的疑问,无恒实验室成员决定对nodejs模板引擎的内在机制进行一些探索。
二、Nodejs模板引擎现状
目前Javascript生态圈里面的模板引擎非常之多,各引擎的实现原理及特性都不尽相同,很难找到一款功能丰富、书写简单、前后端共用的模板引擎,因此有开发者设立了一个根据不同需求挑选不同引擎的网站garann.github.io/template-chooser。
根据npm的官方数据,目前较受欢迎的模板引擎下载量分别如图2所示。无恒实验室根据已有的服务端引擎框架,挑选了目前下载量较大,开发者常用的几种模板引擎进行分析,发现模板引擎的渲染原理基本上都差不多,只是在一些细节的处理方式不太一致。