Node.js — June 2020 Security Releases
(Update 2-June-2020) Security releases available Updates are now available for all supported Node.js release lines for the following issues. TLS session reuse can lead to host certificate verification bypass (High) (CVE-2020-8172) The 'session' event could be emitted before the 'secureConnect' event. It should not be, because the connection may fail to be authorized. If it was saved an authorized
Introduce to Secretlint 🔑
Introduce to Secretlint 🔑 自己紹介 Name : azu GitHub : @azu Twitter : @azu_re Website: Web scratch, JSer.info What's Secretlint? What's Secretlint? パスワードやAPIアクセストークンなど公開してはいけないデータにチェックに特化したLintツール https://github.com/secretlint/secretlint Why Secretlint? Why Secretlint? 既存のツールは過剰検知する(検知件数を増やすため) プロジェクトに導入しやすくしたい プラグインで拡張できるようにしたい How to use Secretlint? How to use Secretlint? プロジェクトに導入する Node.jsのエコシステム
SecretlintでAPIトークンや秘密鍵などのコミットを防止する
SecretlintはAPIトークンや秘密鍵のようなリポジトリにコミットしてはいけないデータを含んだファイルがないかをチェックするツールです。 Secretlintが見つけられるCredentials(秘匿情報)はプラグインで拡張できるようになっていて、npm、AWS、GCP、Slack、SSH秘密鍵、ベーシック認証などの検知に対応しています。 Gitのpre-commit hookやCIサービス上でSecretlintを使ってファイルの中身をチェックすることで、 リポジトリにうっかりCredentialsをコミットしてしまうことを防止する目的のLintツールです。 Credentials(秘匿情報)のチェックに特化したESLintやtextlintのようなLintツールです。 まずチェックしてみよう SecretlintはDockerかNode.jsが入っている環境なら次のコマンドで、現
クライアントサイドからサーバサイドまで破壊するテンプレートエンジンを利用した攻撃と対策
ユーザー入力として受け取ったテンプレートをコンパイル テンプレートレベルがProgramming Language Templateは安全にコンパイルするのが難しい 高度なテンプレートはプログラミング言語そのもの コンパイル時に任意のコードが実行できてしまう => ⚠Danger Programming Language Templateをコンパイルする危険例: ローカル メールでマクロ付きのWordファイルを開いて、ローカルで任意のプログラムが実行されてしまうケース マクロはプログラムそのもの 偽装メールが再び拡散、不正マクロを仕込んだ添付ファイルでマルウエア感染:マクロウイルスの再来? - @IT デフォルトではマクロは無効化されており、オプトインで有効化になっている Office ドキュメントのマクロを有効または無効にする - Office サポート Programming Lang
GitHub Security Alertを元にIssueを作成するCLIを書いた
@security-alertというGitHub Security Alertを扱うコマンドラインツール群を作りました。 GitHub Security Alertは、リポジトリに含まれるnpmやgemなどのパッケージの脆弱性情報を通知した一覧管理できる仕組みです。 詳しくは次のドキュメントで紹介されています。 About security alerts for vulnerable dependencies - GitHub Help このGitHub Security AlertからDependabotを使った修正PatchのPull Requestを作成できるようになっています。 一方で、Pull Requestしか作れないため、そのAlertに対してメモや議論するためのIssueを作るのが面倒でした。 そのため、GitHubにGitHub Security Alertの内容を含んだ
Node.js third-party modules - Bug Bounty Program | HackerOne
The Node.js third-party modules Bug Bounty Program enlists the help of the hacker community at HackerOne to make Node.js third-party modules more secure. HackerOne is the #1 hacker-powered security platform, helping organizations find and fix critical vulnerabilities before they can be criminally exploited.
JSでDoSる/ Shibuya.XSS techtalk #11
Shibuya.XSS techtalk #11 の発表資料です。
Handlebars template injection and RCE in a Shopify app
TL;DR We found a zero-day within a JavaScript template library called handlebars and used it to get Remote Code Execution in the Shopify Return Magic app. The Story: In October 2018, Shopify organized the HackerOne event "H1-514" to which some specific researchers were invited and I was one of them. Some of the Shopify apps that were in scope included an application called "Return Magic" that woul
Introducing experimental integrity policies to Node.js | Snyk
A recent experimental feature for introducing integrity policies landed in Node.js core 11.8.0. This capability, shipped in non LTS version yet, provides integrity checks for a Node.js runtime when modules are being loaded, in order to verify that the modules code haven’t been tampered with. Bradley Farias introduced this change in October 2018 and borrowed the idea from a similar security feature
Node.js — February 2019 Security Releases
(Update 28-February-2018) Security releases available Summary Updates are now available for all active Node.js release lines. In addition to fixes for security flaws in Node.js, they also include upgrades of Node.js 6 and 8 to OpenSSL 1.0.2r which contains a fix for a moderate severity security vulnerability. The original announcement is included below. For these releases, we have decided to withh
The insider perspective on the event-stream compromise with Dominic Tarr (Changelog Interviews #326)
Adam and Jerod talk with Dominic Tarr, creator of event-stream, the IO library that made recent news as the latest malicious package in the npm registry. event-stream was turned malware, designed to target a very specific development environment and harvest account details and private keys from Bitcoin accounts. They talk through Dominic’s backstory as a prolific contributor to open source, his st
Malicious code found in npm package event-stream downloaded 8 million times in the past 2.5 months | Snyk
ProductsProducts What is Snyk? Developer-first security in action
I don't know what to say. · Issue #116 · dominictarr/event-stream · GitHub
What does it do: Other users have done some good analysis of what these payloads actually do. I don't know what to say. #116 (comment) I don't know what to say. #116 (comment) I don't know what to say. #116 (comment) What can I do: By this time fixes are being deployed and npm has yanked the malicious version. Ensure that the developer(s) of the package you are using are aware of this post. If you
Using Node.js event loop for timing attacks | Snyk
ProductsProducts What is Snyk? Developer-first security in action
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - welefen/ssrf-agent: make http(s) request to prevent SSRF
GitHub - indutny/node-ip: IP address tools for node.js
Working Group - Security
GitHub - lirantal/awesome-nodejs-security: Awesome Node.js Security resources
Node.js Security WG — January 2019
GitHub - bmeck/node-policy: Policy management tool for Node.js