近日，国家信息安全漏洞共享平台（CNVD）收录了Node.js反序列化远程代码执行漏洞（CNVD-2017-01206，对应 CVE-2017-594）。攻利用漏洞执行远程执行操作系统指令，获得服务器权限。由于目前验证代码已经公开，极有可能诱发大规模网站攻击。 一、漏洞情况分析 Node.js是一个Javascript运行环境(runtime)，对Google V8引擎进行了封装。Node.js同时也是一个基于Chrome JavaScript运行时建立的平台， 用于方便地搭建快速响应、易于扩展…