Комментарии 2
В примере с browserRedirect вам необходимо убедить жертву использовать ваш middleware. Дело нехитрое.
Но вот как сделать npm бэкдор, который будет работать просто по факту require?
Но вот как сделать npm бэкдор, который будет работать просто по факту require?
Жертве достаточно установить пакет и воспользоваться им в Express-приложении так же, как пользуются любым пакетом промежуточного слоя.
Ничерта себе, для эксплуатации бэкдора требуется всего-лишь… полный доступ к серверу, в том числе доступ к установке софта.
Так там (в nodejs) и другие опасные функции есть.
fs.unlink(), например, может удалить всё к чертям обладая этими же правами доступа.Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Знай своего врага: создаём Node.js-бэкдор