Путь nodejs 5 модулей

Node.js File Upload: Extension Bypass, MIME Spoofing и Defense-in-Depth

Фундаментальный курс по безопасной загрузке файлов в Express-приложениях. Вы разберёте обход проверки расширений через двойные расширения и null bytes, подделку Content-Type заголовков, защиту через path.extname() с allowlist и file-type magic bytes, изучите полный production pipeline с S3 и научитесь автоматизировать обнаружение уязвимостей через SAST/DAST/CI.

Модуль 1: Введение в загрузку файлов в Node.js

Обзор multer, formidable, риски загрузки файлов и общая стратегия безопасности.

0/3

1. Загрузка файлов — multer, formidable и риски
Pro
2. Обзор угроз при загрузке файлов
Pro
3. Проверка знаний
Pro

Модуль 2: Extension Bypass

Обход проверки расширения через двойные расширения и null bytes. Защита через path.extname() и allowlist.

0/4

1. Атака — двойные расширения и null bytes
Pro
2. Защита — path.extname() и allowlist
Pro
3. Проверка знаний
Pro
EXP FIX
4. Практика — обход проверки расширения
medium
Pro

Модуль 3: MIME Spoofing

Подделка Content-Type заголовка и защита через проверку magic bytes пакетом file-type.

0/4

1. Атака — подделка Content-Type
Pro
2. Защита — file-type и magic bytes
Pro
3. Проверка знаний
Pro
EXP FIX
4. Практика — MIME Spoofing
hard
Pro

Модуль 4: Итоговый обзор и реальные CVE

Полный pipeline безопасной загрузки, S3-интеграция, реальные CVE Node-экосистемы и чек-лист для production.

0/3

1. Безопасный pipeline загрузки и реальные CVE
Pro
2. Итоговый обзор пути
Pro
3. Финальный тест
Pro

Модуль 5: Defense-in-Depth и автоматизация

Многослойная защита (network/application/storage/monitoring), SAST/DAST/CI-CD pipeline для автоматического обнаружения file-upload уязвимостей.

0/3

1. Defense-in-Depth — многослойная защита
Pro
2. Автоматизация — SAST, SCA, DAST, runtime monitoring
Pro
3. Финальный тест по Defense-in-Depth
Pro