• Empleos
  • Sobre nosotros
  • profesionales
    • Inicio
    • Empleos
    • Cursos y retos
  • empresas
    • Inicio
    • Publicar vacante
    • Nuestro proceso
    • Precios
    • Evaluaciones
    • Nómina
    • Blog
    • Comercial
    • Calculadora de salario

0

153
Vistas
¿El nodo ejecuta secuencias de comandos del lado del servidor según la extensión del archivo o el tipo similar a php?

Contexto general

Estoy tratando de comprender las preocupaciones generales de seguridad asociadas con una aplicación web creada en una pila MERN/MEAN (Mongo Express React/Angular NodeJS). No tengo experiencia en la creación de aplicaciones PHP, pero muchos ejemplos de vulnerabilidades hacen referencia a PHP, por lo que estoy tratando de entender qué vulnerabilidades en las aplicaciones basadas en PHP tienen análogos en las aplicaciones basadas en nodos/express. Hoy, me preocupa la ejecución de scripts en el servidor.

Detalles específicos

En Node/Express, no estoy familiarizado con una forma de desencadenar la ejecución de un archivo que contiene un script en un directorio servido estáticamente, sin definir una ruta especial y codificar la invocación del script, como se describe aquí: Run Bash Script con Nodo de solicitud de cliente

y abreviado aquí:

 const { spawn } = require('child_process'); ... app.get('/script-file', function(req,res) { let command = spawn(__dirname + '/script-file.sh'); ...

Por el contrario, y si entiendo correctamente el comportamiento de PHP y Apache, una solicitud GET a

 http://example.com/script.php

hará que script.php se ejecute en el servidor, y la salida de ese script se envíe al cliente; no se requiere una ruta especial para activar la ejecución, solo la extensión de archivo ".php". Si un archivo diferente, llámelo "evil-script.php" estuviera presente (cargado) en la raíz web, un usuario podría simplemente solicitar ese archivo para activar su ejecución. Parece que el tratamiento del archivo (si se ejecuta en el servidor o no) depende de la extensión del archivo (.php se ejecuta, .txt no).

Pregunta principal

¿Existe una extensión o tipo de archivo equivalente que se ejecutaría de forma predeterminada en el nodo cuando se identificara en una solicitud GET?

Preguntas de seguimiento

  • Si no, ¿significa esto que php presenta problemas de seguridad que simplemente no están presentes en node/express como se configura comúnmente?
  • ¿Es esto realmente una comparación de nodo con apache?
  • ¿Es correcto decir que estas pilas encarnan filosofías muy diferentes, o es esto un detalle?
about 3 years ago · Santiago Trujillo
Responde la pregunta
Encuentra empleos remotos

¡Descubre la nueva forma de encontrar empleo!

Top de empleos
Top categorías de empleo
Empresas
Publicar vacante Precios Nuestro proceso Comercial
Legal
Términos y condiciones Política de privacidad
© 2025 PeakU Inc. All Rights Reserved.

Andres GPT

Recomiéndame algunas ofertas
Necesito ayuda