0
我有一个运行在nodejs上的JavaScript应用程序。它读取stdin以获取用户名和密码以访问一些在线服务。保护Node js运行时或禁用调试/检测
如果需要重新登录,这些凭证保留在应用程序运行期间(24/7)的整个变量中。
访问服务器的人是否可以“调试”应用程序并获取这些变量,就像人们在浏览器中一样?或任何其他方式。
我对节点的内部工作仍然有点不甚了解。编程: 该应用程序正在Docker容器上运行!
A
回答
2
这取决于服务器。如果他们拥有root或Administrator管理员,他们可以通过多种方式获得访问权限,直至包括直接从内存中读取它们。如果他们使用的是标准帐户,那么只要他们没有与您的应用在同一个帐户上运行,则可能会更安全。这总是一种可能性,但您可以通过使用单独的帐户,限制操作系统用户对机器的访问以及至少对凭证进行加密来最大限度地降低风险。还要确保权限已设置,以便他们不能写入或读取应用程序代码,并且如果他们不应该执行它,也要阻止它。至于调试节点,我的理解是你必须在调试模式下显式运行它。但还有其他方法可以肯定,所以最好限制访问权限,特别是对服务器的物理访问权限,并使用加密。更好的是,如果你能以加密形式卸载这些证书并清除任何持有它们的变量。
相关问题
- 1. 运行单元测试时禁用bootstrap.js
- 2. 从Java或Groovy运行node-js
- 3. 在调试时禁用chrome数据保护程序
- 4. Jasmine-Node只运行第一个测试
- 5. 使用Intellij覆盖范围运行测试时禁用并行测试执行
- 6. 用node-inspector调试karma-jasmine测试
- 7. 如何测试服务已启动或未使用Node Js
- 8. 如何检查Nightmare JS是否在调试模式下运行
- 9. 在运行时检查测试模式
- 10. 当老化保护启动时检测?
- 11. 尝试调试扩展时,运行选项会定期禁用
- 12. Node JS - C++插件的测试策略
- 13. 无法在测试期间禁用WTF CSRF保护
- 14. 调试运行功能在IDEA禁用
- 15. 如何在socket.io和node js上保护用户的“通道”?
- 16. 保护AWS JS SDK Api调用
- 17. 如何在运行R#测试运行器之前用Babel翻译JS测试?
- 18. 运行时调试
- 19. 从NODE调用Yammer API js
- 20. 使用调试器检测可执行文件中的运行时更改
- 21. 运行时禁用Spring云领域测试
- 22. 在运行时禁用选定的自动化测试
- 23. 运行单元测试时禁用Django South?
- 24. 理念调试或运行
- 25. Rails - 禁用js&css // =测试的要求
- 26. TestNG:应该按方法或类的测试运行测试,调用@BeforeSuite方法?
- 27. 运行或调试AIR应用程序时,Flash Builder使用哪些运行时?
- 28. 禁用Cookie时处理CSRF保护
- 29. 使用Arquillian测试受保护的EJB
- 30. 在运行时检测产品代码或测试代码是否在Swift中
@Aus 1.必须假设攻击者**将获得root /管理员权限。 2.将双因素身份验证设置为服务器。 – zaph
@zaph我编辑了这个问题,它在一个Docker容器上运行,我不知道它是相关的。 – Aus
它在Docker上运行,我正在阅读使用“节点”用户而不是默认的根。 – Aus