Node.js HTTP解析漏洞 - 网站安全 - 自学php

表示暂时没有nodejs的领域，而nodejs在国内我也就在阿里云上见过一次，所以发到这来。 poc在这：https://gist.github测试数据/2628868 官方公告在这：http://blog.nodejs.org/2012/05/07/http-server-security-vulnerability-please-upgrade-to-0-6-17/ 简单翻译一下，由于StringPtr里Updae方法存在错误，（如何触发？可以在任意一个http request中，发送一个value长度为0的header，这样在node http_parse的时候就会触发。否则平时直接走到StringPtr:save方法，就无法利用了），当攻击者发送一些特定设置好的payload时（具体看poc），由于server的解析错误，会导致将另一个socket请求中的内容错误的保存为此header的value，导致他人信息泄露。 btw，说起来很绕，听起来很好玩，但鄙人琢磨，这个漏洞估计也就只有些研究价值了。。。。摘自黑暗访问者(坏客技术博客)

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://haodehen.cn/did13170

更新时间：2022-09-13 阅读：43次