CVE-2016-10542 — 神龙十问 AI 深度分析摘要
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Node.js `ws` 模块存在拒绝服务漏洞。 💥 **后果**:攻击者发送超长 WebSocket 载荷,导致节点进程 **崩溃** (DoS)。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE**:CWE-400 (不受控制的资源消耗)。 🔍 **缺陷**:未对 **载荷长度** 进行有效限制,引发资源耗尽。
Q3影响谁?(版本/组件)
📦 **组件**:`ws` Node.js 模块。 🏢 **厂商**:HackerOne (报告方)。 ⚠️ **范围**:基于 `ws` 实现的 WebSocket 服务器。
Q4黑客能干啥?(权限/数据)
🔓 **权限**:无需获取系统权限。 📉 **影响**:直接造成 **服务不可用** (进程崩溃),非数据泄露。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:**低**。 🔑 **认证**:通常无需认证,直接发送畸形数据包即可触发。
Q6有现成Exp吗?(PoC/在野利用)
📜 **Exp**:数据中未提供具体 PoC 链接。 🌍 **在野**:参考链接指向 Node.js 官方 Issue 和 NodeSecurity 公告,确认存在利用风险。
Q7怎么自查?(特征/扫描)
🔍 **自查**:检查项目 `package.json`。 📋 **特征**:依赖列表中是否包含 `ws` 模块。
Q8官方修了吗?(补丁/缓解)
🛠️ **修复**:参考链接指向 NodeSecurity 公告 (advisories/120)。 ✅ **建议**:升级 `ws` 至安全版本或应用官方补丁。
Q9没补丁咋办?(临时规避)
🚧 **规避**:在网关层限制 **单条消息最大长度**。 🛡️ **防御**:部署 WAF 拦截异常大小的 WebSocket 帧。
Q10急不急?(优先级建议)
🔥 **优先级**:**高**。 ⚡ **理由**:极易利用,直接导致服务中断,影响业务连续性。