Найти в Дзене
SecureTechTalks
20 подписчиков

🛡️ Pompelmi: приватный сканер файлов для Node.js

2 мин
В веб-приложениях одна из самых уязвимых точек - это загрузка файлов пользователями: изображения, документы, архивы, PDF и т.д. и т.п.. Если файлы не фильтровать, вы рискуете столкнуться с вредоносами и эксплоитами. Данную проблему пытается решить pompelmi. 🤔 Что такое pompelmi? pompelmi - это open-source file-scanner для Node.js, написанный на TypeScript. Проект делает упор на безопасность и простую интеграцию в серверные приложения. Ключевые особенности: 🔍 проверка файлов до сохранения в файловой системе ⚡ минималистичная и быстрая реализация 🔒 полностью локальная работа, без облачных вызовов 🔌 адаптеры для популярных веб-фреймворков 🧱 Основные возможности pompelmi ✅ Сканирование до записи на диск Главная идея проверять файл как можно раньше, прежде чем он окажется в файловой системе. Это снижает риск эксплуатации уязвимостей файловых парсеров и вспомогательных библиотек. 🔍 Безопасная обработка архивов - pompelmi умеет: безопасно обходить архивы с ограничением глубины; -

🛡️ Pompelmi: приватный сканер файлов для Node.js

В веб-приложениях одна из самых уязвимых точек - это загрузка файлов пользователями: изображения, документы, архивы, PDF и т.д. и т.п.. Если файлы не фильтровать, вы рискуете столкнуться с вредоносами и эксплоитами.

Данную проблему пытается решить pompelmi.

🤔 Что такое pompelmi?

pompelmi - это open-source file-scanner для Node.js, написанный на TypeScript. Проект делает упор на безопасность и простую интеграцию в серверные приложения.

Ключевые особенности:

🔍 проверка файлов до сохранения в файловой системе

⚡ минималистичная и быстрая реализация

🔒 полностью локальная работа, без облачных вызовов

🔌 адаптеры для популярных веб-фреймворков

🧱 Основные возможности pompelmi

✅ Сканирование до записи на диск

Главная идея проверять файл как можно раньше, прежде чем он окажется в файловой системе. Это снижает риск эксплуатации уязвимостей файловых парсеров и вспомогательных библиотек.

🔍 Безопасная обработка архивов

- pompelmi умеет:

безопасно обходить архивы с ограничением глубины;

- предотвращать zip-bomb-атаки;

- анализировать вложенные и рекурсивные структуры.

🧠 Гибкая система сканеров

Встроенные эвристики позволяют выявлять:

➖риски в PDF (включая встроенный JavaScript);

➖опасные Office-макросы;

➖признаки PE-бинарей в загружаемых файлах.

Также поддерживается подключение собственных сигнатур, включая правила YARA.

🧩 Интеграция с фреймворками

pompelmi можно встроить в популярные серверные фреймворки Node.js на уровне middleware:

Express - https://expressjs.com

Koa - https://koajs.com

Next.js - https://nextjs.org

Fastify (alpha-поддержка) - https://www.fastify.io

Это позволяет проверять файлы непосредственно на входе в приложение и блокировать подозрительные загрузки до их обработки бизнес-логикой.

📈 Практическая польза

🔹 уменьшает риск попадания вредоносных файлов в инфраструктуру

🔹 хорошо подходит как первая линия защиты для upload-эндпоинтов

🔹 не требует внешних сервисов и передачи данных третьим лицам

Pompelmi не позиционируется как замена полноценного антивируса, но отлично закрывает начальный уровень защиты файловых загрузок.

📌 Итог

Если вы разрабатываете API с возможностью загрузки файлов или веб-приложения с пользовательскими upload-формами, то pompelmi выглядит как разумный инструмент для усиления AppSec без избыточной сложности.

🔗 GitHub: https://github.com/pompelmi/pompelmi

Stay secure and read SecureTechTalks 📚

#SecureTechTalks #CyberSecurity #DevSecOps #NodeJS #FileUploadSecurity #MalwareScanning #YARA #ZipBombProtection #AppSec #WebSecurity