Re:杰出nodejs没有CVE的警告

概述:惰性目录处理程序总是允许文件在隐藏目录服务,即使<代码> showHidden > < /代码是错误的。

概述:攻击者有可能绕过验证当“象征性的数字签名与非对称密钥(RS / ES家庭)的算法,而是攻击者发送一个象征性的数字签名与对称算法(HS *家庭)”[1]

概述:0.3.3和容易受到常规_expression_早些时候拒绝服务(重做),某些类型的输入是通过解析。

概述:paypal-ipn使用<代码> test_ipn < /代码>参数设置的(这是贝宝IPN模拟器),以确定是否应该使用生产贝宝网站或沙箱。

概述:qs模块并没有一个选项或者默认指定对象的深度和解析字符串代表一个深度嵌套对象将阻止事件循环很长一段时间。攻击者可以利用这个导致暂时拒绝服务条件,例如,在一个web应用程序,其他请求将不会处理这种阻塞发生。

概述:某些输入传递到非凡的绕过坏prototcol检查不允许_javascript_:计划允许_javascript_: url # 39; s是注入呈现内容。

概述:semver容易受到常规_expression_拒绝服务(< a href = " href = " https://www.owasp.org/index.php/Regular_expression_Denial_of_Service_-_ReDoS " target = "平等" > https://www.owasp.org/index.php/Regular_expression_Denial_of_Service_-_ReDoS”>重做< / >)当超长版本字符串解析。

概述:当使用serve-index中间件版本& lt;1.6.3文件和目录名字不是HTML输出中逃脱。如果远程用户可以影响文件或目录名称,这可能引发持续的XSS攻击。

概述:< a href = " " href = " https://github.com/mishoo/UglifyJS2/issues/751 " target = "平等" > https://github.com/mishoo/UglifyJS2/issues/751汤姆MacWright " > < / >发现UglifyJS版本2.4.23和早些时候受到一个漏洞允许精雕细琢_javascript_文件缩小后改变了功能。这个错误是< a href = " " href = " https://zyan.scripts.mit.edu/blog/backdooring-js/ " target = "平等" > https://zyan.scripts.mit.edu/blog/backdooring-js/“> < / >,< a href = " href = " https://twitter.com/bcrypt " target = "平等" > https://twitter.com/bcrypt严" > < / >允许潜在的恶意代码隐藏在安全的代码,通过缩小激活。

概述:验证器模块为节点。js包含功能旨在筛选潜在的XSS攻击(一个过滤器称为XSS)。几种方法可以绕过过滤器被发现。一般来说,因为函数的滤波是基于黑名单很可能其他绕过将来会被发现。鼓励开发人员不使用xss过滤器函数在这个包中。

概述:验证器模块为节点。js包含功能旨在筛选潜在的XSS攻击(一个过滤器称为XSS)。的一种方法

概述:哈皮神版本低于11.0.0实现歌珥和允许配置错误,在最好的情况下返回标题不一致,在最坏的情况下允许跨源将被禁止的活动。[1]

概述:容易受到常规_expression_女士拒绝服务(重做)超长字符串解析版本。

概述:uglify-js容易受到常规_expression_拒绝服务(重做),某些类型的输入传递到.parse ()。

概述:Mapbox。js版本1。1.6.5前x和2。2.1.7前x很容易跨站脚本攻击在某些不常见的使用场景。

概述:当歌珥哈皮神上启用了路由处理程序,可以设置一个面包屑令牌在不同领域。攻击者需要一个应用程序他们控制消费者访问网站,请求路由支持歌珥,然后获取令牌。这个令牌,他们可能使非歌珥路线为该用户的请求。

概述:secure-compare 3.0.0实际上低于不恰当地比较两个字符串。

概述:ansi2html容易受到常规_expression_拒绝服务(重做),某些类型的用户输入传入。

概述:jadedown容易受到常规_expression_拒绝服务(重做),某些类型的用户输入传入。

概述:jshamcrest容易受到常规_expression_拒绝服务(重做),某些类型的用户输入传入emailAddress验证器。

概述:时刻很容易受到常规_expression_拒绝服务当用户输入不传递到moment.duration()阻塞事件循环一段时间。

概述:发送模块& lt;0.11.1揭示根路径。

概述:<代码>沥青> < /代码模块比2.0.0版本允许档案包含符号链接,将覆盖目标预期之外的路径提取。

概述:由于一个错误的默认登录功能,不完整的电子邮件地址可能匹配。一个正确的密码仍然需要完成登录。

概述:不使用引号在车把你的属性模板,可能导致内容注入。

概述:不使用引号属性胡子模板,可能导致内容注入。

概述:某些输入传递到if - modified - since last - modified或头将导致& # 39;非法访问# 39;例外了。而不是回到发送方发送一个HTTP 500错误,哈皮神将继续维持这一套接字打开直到超时(缺省节点超时2分钟)。

概述:某些输入字符串传递给新的日期()或Date.parse()将导致v8引发一个异常。这导致崩溃和拒绝服务欣喜若狂当这个输入是通过if - modified - since头传递到服务器。

概述:服务器级别时,连接级别或路线级别歌珥配置结合起来,当一个更高级别的配置包括安全限制(比如起源),一个更高的水平配置,包括安全限制(如起源)将这些限制被限制较少违约(例如起源默认为所有起源<代码> * > < /代码)。

概述:键的对象不是保住了<代码> mysql.escape() < /代码>可能导致SQL注入。

概述:更新2016年1月6日

概述:安全问题被发现在bittorrent-dht允许某人发送一系列特定的消息听同行,让它显示内存。

概述:dns-sync库节点。js允许同步的方式解析主机名

概述:Mapbox。js版本1。1.6.6前x和2。2.2.4前x很容易跨站脚本攻击在某些不常见的使用场景。

概述:专门制作的MQTT数据包可以应用程序,做一个DoS攻击可行与很少的带宽。

概述:可以阻止事件循环当精雕细琢允许用户输入验证器使用<代码> utc-millisec > < /代码格式。

概述:专门制作的长标题或者uri可能会导致未成年人拒绝服务在使用不到以下4.4.1鹰版本。

概述:一个REST API端点用于发展不是残疾在生产环境中。这个端点将允许填充可能存储在服务器上创建一个拒绝服务条件,使通过内容注入XSS攻击。

概述:当试图让“尝试”模式在< a href = " href = " https://www.npmjs.com/package/hapi " target = "平等" > https://www.npmjs.com/package/hapi”>哈皮神< / > hapi-auth-jwt2 5.1.1引入一个问题,人们可以绕过身份验证。

概述:一种常见的安装部署gh-pages通过CI系统是针对每一个提交公开github牌ENV,直接使用它的身份验证url的一部分。

概述:riot-compiler版本版本2.3.21”中的一个问题一个正则表达式(灾难性的回溯)这使它无法使用在特定条件下”

概述:restafary能够建立一个根路径,这应该只允许它运行在指定的那根路径。攻击者能够提供一个专门制作的路径来访问文件以外的指定根路径。

概述:Droppy版本& lt; = 3.4.0不执行任何验证跨域websocket请求。攻击者能够专门制作的页面可以发送请求的上下文当前登录用户。例如这意味着恶意用户可以添加一个新的管理员帐户在他的控制下,删除别人。

概述:减速板模块默认为通过HTTP发送环境变量。环境变量常常可以包含密钥和其他敏感值。恶意用户可以在同一个网络作为一个普通用户和拦截所有用户发送的密钥。这违背了常见的最佳实践,这是使用HTTPS。

概述:静态文件服务器模块的版本低于0.1.4 fancy-server很容易目录遍历。攻击者可以提供输入,如<代码> . ./ > < /代码来读取文件以外的服务目录。