npm 漏洞对前端重要吗?
Col*_*aws 4 javascript security node.js npm single-page-application
当运行命令“npm install”或“npmaudit”时,我通常会收到软件包漏洞的通知。就我而言,我仅将 npm 包用于 Javascript 客户端,并将其作为 SPA(单页应用程序)发送给用户。
是否存在我应该注意的影响 npm UI/UX 实现的安全漏洞,或者这些消息是否专门用于在节点服务器上使用 npm 包时?
这是我运行“npmaudit”时的示例:
是的,这可能很重要。
人们之前曾尝试通过前端代码窃取恶意软件。到目前为止,它是通过感染广告服务器或类似的东西(例如使用 JSONP 的 API)实现的。但这可以通过感染 npm 上的模块来完成。
有一个相当著名的案例,有人通过修改EventStream模块的代码插入代码来窃取比特币私钥(允许他们花费其他人的比特币)。这是一个相当微妙和漫长的操作,黑客首先自愿修复错误,然后帮助维护库,最后请求成为主要维护者。
EventStream 是一个仅包含 Node.js 的模块,因此它不是前端的东西。但有人可能会悄悄地添加代码来修改某些内容,Math.random或者window.fetch秘密地改变你的逻辑或窥探你的通信。
如果漏洞被发送到浏览器代码,您应该调查它是什么以及它是否对您的应用程序很重要。
如果该漏洞仅影响开发人员工具(例如 css 预处理器或类似的构建系统gulp),那么它并不重要,因为它仅在您构建或调试项目时才会执行。
| 归档时间: |
|
| 查看次数: |
2290 次 |
| 最近记录: |