新的开源 Nodejs 漏洞猎杀工具展现出潜力
新研发的 Nodejs 漏洞检测工具
重点摘要
新开发的漏洞检测工具 ODGEN 基于 Object Dependence Graph 结构,已经能够识别出 Nodejs 环境中的 180 个安全隐患。该工具由约翰霍普金斯大学和中国人民大学的研究人员研发,标识了六种不同类型的漏洞,发现了 137 个包级和 43 个应用级的零日漏洞,并已经为其中 70 个分配了通用漏洞和暴露CVE标识符。
据 SecurityWeek 报道,ODGEN 的独特之处在于其采用了受到代码属性图启发的新结构,能够有效地识别和分析 JavaScript 对象之间的依赖关系。
研究指出,JavaScript 对象在 ODG 中被建模为节点,而抽象语法树的连接则被解释为边。这种方法具体包括了对象间细粒度的数据依赖性,帮助实现了如命令注入等污点风格漏洞检测。研究人员表示,这种新颖的方式也使得 ODG 可以用于离线 Nodejs 漏洞检测。
详细信息
漏洞类型被识别的案例包级零日漏洞137应用级零日漏洞43误报包级:84,应用级:14CVE 标识符70“特别是,ODG 包括对象之间的细粒度数据依赖关系,从而帮助实施污点风格的漏洞检测,比如命令注入。” 研究人员补充道,这种方法的创新真能够推动 Nodejs 漏洞检测技术的发展。
相关链接
漏洞管理的紧急补丁建议SecurityWeek 报道这种新工具的开发不仅为 Nodejs 的安全性提升提供了新思路,还可能在未来的网络应用开发中起到至关重要的作用。随着 ODGEN 的应用和进一步的研究,相信能够有效减少安全漏洞的存在,提高开发环境的安全保护。
ios加速器永久免费版