資訊專欄INFORMATION COLUMN
摘要:盡管這樣,我們還沒有形成很多的安全準則。在這篇文章中,我會分享一些關于提高安全性方面的技巧。注跨站腳本攻擊發生這種情況時,攻擊者注入可執行代碼的響應。這樣可能會被跨站點腳本攻擊。
毫無疑問,Node.js現在是越來越成熟。盡管這樣,我們還沒有形成很多的安全準則。
在這篇文章中,我會分享一些關于提高Node.js安全性方面的技巧。
你不僅僅要避免使用eval - 你也應該避免使用在下列情況,他們等價于直接使用eval;
setInterval(String, 2) setTimeout(String, 2) new Function(String)
注* eval: 直接將字符串轉化為代碼執行,如: eval("alert("hi")")
為什么不要用eval?如果你對用戶輸入的內容進行了eval運行(千萬不要這么設計),你就有可能受到注入攻擊。并且這種運行方式很慢。
請使用Strict嚴格模式使用這種模式將限制你的變量聲明,并總會將一些可能隱藏的錯誤拋出來,下面是幾個例子:
1.不可刪除的屬性"use strict"; delete Object.prototype; // TypeError2. 對象屬性必須是唯一的
"use strict";
var obj = {
a: 1,
a: 2
};
// syntax error
3.禁止使用with
var obj = { x: 17 };
with (obj) // !!! syntax error
{
}
靜態代碼分析
使用 JSLint, JSHint 或 ESLint 來靜態分析你的代碼. 靜態代碼分析可以讓你在早期捕獲一些潛在的BUG.
測試這一點不言而喻:測試,測試再測試。
不僅僅是單元測試,你應該進行全面測試(test pyramid)。
不要直接使用: sudo node app.js很多人使用超級用戶權限運行Node應用,不是嗎?因為他們希望應用程序直接偵聽80或443端口(注* http和https的默認端口)
這一點是不對的,進程中的任何一個錯誤/漏洞都將讓整個系統宕機,然后你就什么也干不了。
所以你應該使用一個HTTP反向代理服務去轉發這些請求。可以用nginx, Apache 你看著辦。
避免命令(shell command)注入下面的代碼段有什么問題?
child_process.exec("ls", function (err, data) {
console.log(data);
});
child_process.exec 命令調用的是 /bin/sh, 它啟動了一個解釋器,而非程序。
這是有問題的,當該方法執行用戶輸入的一個方法,比于一個反引號或$()中的內容,一個新的命令就可能被攻擊者注入。
為了避免這個問題,你只需要使用child_process.execFile。詳解。
臨時文件創建文件時,如處理上傳的文件格外注意。這些文件可以輕松吃掉你所有的磁盤空間。
為了解決這個問題,你應該使用Streams。
加密你的Web應用不光是Node-所有的Web應用程序都應該加密。(注* https)
跨站腳本攻擊(Reflected Cross Site Scripting)發生這種情況時,攻擊者注入可執行代碼的HTTP響應。一個應用程序容易受到這種類型的攻擊,它會在客戶端執行未驗證的腳本(主要是用Javascript寫的)。它使攻擊者能夠竊取cookie,剪貼板的內容或修改頁面本身。
比如
http://example.com/index.php?user=
如果這條用戶查詢未經過驗證直接插入到DOM(HTML)中,它就會被執行。
怎么避免永遠不要往DOM中插入不可信的數據
在插入前去除HTML
默認情況下,Cookie可以通過Javascript在同一個域中讀取。這樣可能會被跨站點腳本攻擊。而且它們還有可能被第三方的JavaScript庫閱讀。
例如
var cookies = document.cookie.split("; ");
怎樣避免
為了防止這種情況,你可以在Cookies上使用HttpOnly,這個標簽可以讓JavaScript無法讀取這個cookie。 (注* 比如服務器端用到的Cookie)
內容加密策略內容安全策略(CSP)是一個附加的安全層,幫助檢測和緩解某些類型的攻擊,包括跨站點腳本(XSS)和數據注入攻擊。
CSP可以通過 Content-Security-Policy 被啟用。
比如:
Content-Security-Policy: default-src "self" *.mydomain.com
注* CSP的更多內容
這個header頭信息將只接收信任的域名及其子域名的發過來的內容。
跨站請求偽造 (Cross-Site Request Forgery)CSRF是一種迫使終端用戶在他目前已驗證授權的Web應用程序中執行其它的actions。
這時侯問題就可能發生了,因為cookie也會發送到被請求的網站(此網站你已經被授權) - 即使當這些請求來自不同的位置。
例如
注* 此頁面在另外一個域名中
這樣會直接導致這個用戶信息被刪除。
怎樣阻止為了防止CSRF,您應該實現同步令牌模式 - 幸運的是,node社區已經幫你做了。下面是它的工作原理:
當發起一個GET請求時,服務器檢查你的CSRF令牌 - 如果它不存在,創建一個
當用戶顯示輸入時,確保添加一個隱藏的CSRF令牌值
當Form表單提交時,確保該值與該表單與Session中的內容相匹配
via ourjs
原文
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/11149.html
摘要:網絡黑白一書所抄襲的文章列表這本書實在是垃圾,一是因為它的互聯網上的文章拼湊而成的,二是因為拼湊水平太差,連表述都一模一樣,還抄得前言不搭后語,三是因為內容全都是大量的科普,不涉及技術也沒有干貨。 《網絡黑白》一書所抄襲的文章列表 這本書實在是垃圾,一是因為它的互聯網上的文章拼湊而成的,二是因為拼湊水平太差,連表述都一模一樣,還抄得前言不搭后語,三是因為內容全都是大量的科普,不涉及技術...
摘要:進攻即是最好的防御個練習黑客技術的在線網站進攻即是最好的防御,這句話同樣適用于信息安全的世界。社區有接近萬的注冊會員也是最大的一個黑客社區之一。 進攻即是最好的防御!19個練習黑客技術的在線網站 進攻即是最好的防御,這句話同樣適用于信息安全的世界。這里羅列了19個合法的來練習黑客技術的網站,不管你是一名開發人員、安全工程師、代碼審計師、滲透測試人員,通過不斷的練習才能讓你成為一個優秀安...
閱讀 2485·2021-09-22 16:05
閱讀 2972·2021-09-10 11:24
閱讀 3645·2019-08-30 12:47
閱讀 2947·2019-08-29 15:42
閱讀 3391·2019-08-29 15:32
閱讀 1968·2019-08-26 11:48
閱讀 1093·2019-08-23 14:40
閱讀 906·2019-08-23 14:33
