快來點我 👉👉👉 https://hahow.in/cr/kewang-backend 👈👈👈

大家好，小編這次籌備的新課「專為前端工程師準備的 Node.js 後端實戰課程」開始在 Hahow 好學校 上架募資啦！

在 2021/7/14 之前，在這篇文章按讚，並且公開分享這篇文章，及 tag 一位你的好朋友，除了可以用超優惠價格購買這門課程外，還有機會獲得 8 折的 coupon 喔！

---

這門課主要是從小編在這六七年來對於後端開發的集大成，以 Node.js+VS Code 做為開發環境。

會開這門課程的原因，主要是因為後端運用廣泛，但是門檻高、人才難找。而前端工程師經過了 MVVM 框架及 JavaScript 的洗禮後，再加上 Node.js 的流行，轉職到後端會比其他語言多了一層優勢。所以這門課程希望能讓已經有 JavaScript 基礎的前端工程師，也能輕鬆進入後端開發的大門。

課程內容主要是從 Express.js 開始著手，以 TODO list 做為貫穿整門課程的專案，其中可以學到許多內容，像是：

🔥 如何活用 package.json 及 dotenv 讓你快速開發
🔥 express.js 最重要的 middleware 開發及如何擴充 req/res
🔥 如何使用 Heroku 讓你快速部署網站上雲
🔥 如何使用 New Relic 來觀測網站運作狀況

其中也會教大家如何撰寫 API 文件及 RESTful API 的串接實戰，像是：

🔥 request 失敗到底要用 200 還是 400 回應
🔥 使用 mock server 快速串接 API
🔥 使用 Markdown 快速撰寫 API 文件

而資料庫則會搭配 MongoDB 及 Redis 做為快速開發使用：

🔥 MongoDB 的 schema 設計、CRUD 及最重要的 aggregate 使用方式
🔥 Redis 的 set/get 及 expire 功能簡易使用

---

這門課也有兩個募資解鎖單元，分別是「如何使用 Redis 開發 autocomplete 功能」、「如何使用 BullMQ 縮短 API 的回應時間」，歡迎大家踴躍報名這門課程，對課程有任何疑問都可以在課程網頁留言喔！

#nodejs #expressjs #javascript

#純靠北工程師4w2
----------
repo底下的每個資料夾都只放一支.js，在那個.js旁邊寫個package.json
然後在dockerfile裡面對目錄作迴圈npm install

----------
💖 純靠北官方 Discord 歡迎在這找到你的同溫層！
👉 https://discord.gg/tPhnrs2

----------
💖 全平台留言、文章詳細內容
👉 https://init.engineer/cards/show/6338

這篇文章算是一個資安問題的討論文章，作者透過一系列的手法成功地獲取了大量使用者的電腦資訊，由於這次的實驗只是要證明資安問題，因此作者的程式只有獲取如 IP, Hostname 等簡單資訊，若是惡意的話是可以執行更多危險程式碼的。

作者開門見山表示，現在的程式語言有太多的豐富的第三方函式庫，譬如 NodeJs(NPM), Ruby(RubyGem), Python(PyPI)，豐富的第三方實作讓開發者可以更快速的完成任務。
開發者在使用這些套件函式庫時，大部分情況都不會去檢查太多，而是直接信賴般的去使用這些函式庫，而這種盲點般的信任是否有可能讓攻擊者有跡可循？

作者基於這個想法進行了一系列研究，發現 PayPal 公開專案(NodeJs) 內的 package.json 內交互使用了公開與內部的 packages。 公開部分勢必來自 npm 而那些內部的應該是來自於 PayPal 內部系統，同時也注意到這些內部的 package name 目前於 npm 上也不存在。

針對這個情境，作者提出一些問題
1) 如果有人上傳跟 PayPal 內部 package 相同名稱的套件到 npm 服務器上，有沒有可能 PayPal 內部某些專案會預設使用 npm 上的套件而非內部自架的伺服器?
2) 開發者或是其他自動化系統有沒有可能運行這些 packages 內的程式碼，這樣有沒有機會造成一個漏洞的可能性？
3) 其他的公司是否也會有類似的問題?

為了證實這個問題，作者設計了一系列的實驗與準備來測試上述問題，譬如更有系統的去尋找這種有跡可循的 package.json(Tesla, Apple, Yelp 等公司都被到可以利用的 package names)。

作者將自己這系列的攻擊行為稱為 depdendency confusion 來呼應本文標題。

結果來看是令人非常震驚的，作者打造同名的npm的確被大量下載與執行，也讓作者收集到大量運行的內部服務器IP與名稱。
與 Apple 合作通報相關報告後， Apple 也於兩週內修復相關問題。

原文滿長的，非常推薦閱讀
我個人認為資安這概念就是不出問題不被重視，但是一但出問題可能造成的影響卻非常巨大的。團隊內每個人都要培養基本的資安理念，同時與相關的安全團隊合作逐漸地提高整個產品的安全性，永遠不要想一聲令下明天就可以反轉一切。

https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610

การติดตั้ง Node.js package ด้วย npm (Node Package Manager)
การสร้าง package.json ด้วย npm init
เข้าใจ package dependencies
เชิญสมัครเป็นสมาชิกของช่องนี้ได้ที่ ► https://www.youtube.com/subscription_center?add_user=prasertcbs
สอน Node.js ► https://www.youtube.com/playlist?list=PLoTScYm9O0GERtEdsPHK5Q-cdor5ADnyM
สอน PostgreSQL ► https://www.youtube.com/playlist?list=PLoTScYm9O0GGi_NqmIu43B-PsxA0wtnyH
สอน MySQL ► https://www.youtube.com/playlist?list=PLoTScYm9O0GFmJDsZipFCrY6L-0RrBYLT
สอน Microsoft SQL Server 2012, 2014, 2016, 2017 ► https://www.youtube.com/playlist?list=PLoTScYm9O0GH8gYuxpp-jqu5Blc7KbQVn
สอน SQLite ► https://www.youtube.com/playlist?list=PLoTScYm9O0GHjYJA4pfG38M5BcrWKf5s2
สอน SQL สำหรับ Data Science ► https://www.youtube.com/playlist?list=PLoTScYm9O0GGq8M6HO8xrpkaRhvEBsQhw
การเชื่อมต่อกับฐานข้อมูล (SQL Server, MySQL, SQLite) ด้วย Python ► https://www.youtube.com/playlist?list=PLoTScYm9O0GEdZtHwU3t9k3dBAlxYoq59
การใช้ Excel ในการทำงานร่วมกับกับฐานข้อมูล (SQL Server, MySQL, Access) ► https://www.youtube.com/playlist?list=PLoTScYm9O0GGA2sSqNRSXlw0OYuCfDwYk
#prasertcbs_nodejs #prasertcbs