新研发的 Node.js 漏洞检测工具

重点摘要

新开发的漏洞检测工具 ODGEN 基于 Object Dependence Graph 结构，已经能够识别出 Node.js 环境中的 180个安全隐患。该工具由约翰·霍普金斯大学和中国人民大学的研究人员研发，标识了六种不同类型的漏洞，发现了 137 个包级和 43个应用级的零日漏洞，并已经为其中 70 个分配了通用漏洞和暴露（CVE）标识符。

据 SecurityWeek 报道，ODGEN 的独特之处在于其采用了受到代码属性图启发的新结构，能够有效地识别和分析 JavaScript对象之间的依赖关系。

研究指出，JavaScript 对象在 ODG中被建模为节点，而抽象语法树的连接则被解释为边。这种方法具体包括了对象间细粒度的数据依赖性，帮助实现了如命令注入等污点风格漏洞检测。研究人员表示，这种新颖的方式也使得
ODG 可以用于离线 Node.js 漏洞检测。

详细信息

漏洞类型 | 被识别的案例
—|—
包级零日漏洞 | 137
应用级零日漏洞 | 43
误报 | 包级：84，应用级：14
CVE 标识符 | 70

“特别是，ODG 包括对象之间的细粒度数据依赖关系，从而帮助实施污点风格的漏洞检测，比如命令注入。” 研究人员补充道，这种方法的创新真能够推动
Node.js 漏洞检测技术的发展。

相关链接

这种新工具的开发不仅为 Node.js 的安全性提升提供了新思路，还可能在未来的网络应用开发中起到至关重要的作用。随着 ODGEN的应用和进一步的研究，相信能够有效减少安全漏洞的存在，提高开发环境的安全保护。