介绍
>在2016年,当黑客通过利用私人github存储库中的暴露凭据访问其aws s3服务器时,uber面临严重的安全漏洞。该服务器包含5700万用户和60万驱动程序的敏感数据。违规发生是由于不良的访问控制和凭证管理在其node.js应用程序中。如果像uber这样的技术巨头可能会发生这种情况,那么您的应用程序呢?如果您要建立初创公司或管理企业,该如何保护自己?
本文将探讨确保node.js applications的最佳实践。无论您是初学者还是您已经开发了多年,采用这些工具和策略都可以保护您的应用程序免受违规的影响。到最后,您将知道如何保护您的应用程序并避免损失数百万美元的错误。
漏洞和安全风险
保护您的应用程序的最有效方法是在黑客利用它们之前解决漏洞。攻击者通常在您的代码,设计或配置中搜索弱点,以获得未经授权的访问。以下是一些最常见的漏洞:
注射攻击: sql注入,命令注射和跨站点脚本(xss)是一些最常见的威胁。攻击者使用弱输入验证来注入恶意代码,从而导致未经授权的访问或窃取敏感数据。>弱身份验证:依靠弱密码或不安全的会话管理使您的用户的数据处于危险之中。实施不良的身份验证可能会导致诸如蛮力攻击和会议劫持之类的问题。>拒绝服务(dos)攻击:>过时的依赖性:>不正确的错误处理:>揭示堆栈跟踪,数据库详细信息或文件路径的错误消息可以为攻击者提供有关您应用程序的宝贵线索。 输入验证和消毒为了保护您的应用程序免受注射攻击,请始终验证用户输入以保护您的系统免受恶意或不正确数据。使用诸如>验证器或> dompurify的工具有效地消毒输入。此外,使用 joi
之类的工具实施严格的验证规则,以确保仅处理有效的数据。
在此示例中,我们使用
> valivator.js来删除任何额外的空格,然后使用 joi 来验证电子邮件格式。这种方法为您的api添加了额外的安全性。>
// ...const validator = require('validator');const joi = require('joi');app.post('/submit', (req, res) => { // sanitize the email by trimming extra spaces const sanitizedemail = validator.trim(req.body.email); // validate the sanitized email const schema = joi.object({ email: joi.string().email().required().label("email") }); const { error } = schema.validate({ email: sanitizedemail }); if (error) return res.status(400).json({ message: error.details[0].message }); // ...});
登录后复制 实施强大的身份验证
弱身份验证机制通常是未经授权访问和帐户漏洞的切入点。实施强大的身份验证政策对于保护您的应用至关重要。以下是一些最佳实践:
>>> oauth 2.0:使用> passport.js
的oauth 2.0协议实现安全身份验证。 passport提供了广泛的策略,包括通过像google这样值得信赖的提供商登录。首先,只需安装
passport.js
以及所需的特定策略,然后在应用程序中进行配置。
在此示例中,我们正在使用
> passport-google-oauth20
策略来验证用户:14926428773hash密码:如果您希望使用电子邮件和密码进行身份验证,那就很好。只需确保永远不要将密码存储在纯文本中即可。始终使用像bcrypt这样的工具将它们放置,因为它提供的安全性比node.js的内置
crypto module。
const bcrypt = require('bcrypt');// ...const saltrounds = 10;const hashedpassword = await bcrypt.hash(password, saltrounds);// ...登录后复制> 会话cookie:
>避免使用默认会话cookie名称;设置自定义cookie名称,并启用安全选项,例如
httponly
和 secure。这些措施大大降低了攻击者劫持用户会议的风险。>
const session = require('cookie-session')// ...app.use( session({ name: 'custom-cookie-name', secret: 'your-secret-key', cookie: { httponly: true, secure: true, // use true in production with https maxage: 60 * 60 * 1000, // 1 hour }, }));// ...
登录后复制>通过集成oauth 2.0,hashed密码和安全会议,您可以创建一个强大的身份验证系统,以防止黑客进入,并确保用户的数据保持安全和保护。 利率限制和节流
>实施速率限制以防止您的应用崩溃。费率限制控制用户可以在给定的时间范围内提出多少请求。在下面的示例中,我们使用的是
express-rate-limit库来限制登录尝试在15分钟的窗口中的每个ip地址。
const ratelimit = require('express-rate-limit');const limiter = ratelimit({ windowms: 15 * 60 * 1000, // 15 minutes max: 5, // limit each ip to 5 requests per window message: 'too many login attempts, please try again later.',});app.use('/login', limiter);
登录后复制实施限制率有助于通过防止黑客用请求淹没系统或尝试猜测密码来保护您的应用程序。 保持依赖关系的最新
>过时的库可以为攻击者打开后门,这对于保持依赖性更新至关重要。使用诸如npm审核之类的命令来检测和解决任何漏洞。此外,定期查看您的
package.json
文件,然后删除任何未使用的软件包以维护您的应用程序的安全性。
$ npm audit fix
登录后复制
>要进一步增强应用程序的安全性,请考虑使用 snyk
。它提供了一个cli和github集成,可针对snyk的开源数据库扫描您的应用程序,以检测依赖关系中的任何已知漏洞。入门很简单,只需安装snyk,导航到您的项目目录,然后运行
snyk test
。
$ npm install -g snyk$ cd your-app$ snyk test
登录后复制
>通过更新依赖关系并使用之类的工具,您不仅可以保护应用程序免受攻击,还可以改善性能,减少错误并维护更稳定的环境。>
错误处理和记录避免将内部错误暴露于用户。相反,使用 winston>或
bunyan
之类的记录工具来牢固捕获和日志错误。只需安装您的首选工具,导入并相应地配置即可。这些工具可帮助您记录错误,而无需透露敏感信息。当出现问题时,请向用户发送通用错误消息,同时保留详细的日志以进行调试目的。
const winston = require('winston');// configure winston loggingconst logger = winston.createlogger({ level: 'info', format: winston.format.json(), transports: [ new winston.transports.console(), new winston.transports.file({ filename: 'logs/app.log' }) ]});// middleware for error handlingapp.use((err, req, res, next) => { // log the error, without exposing sensitive details to the user logger.error(`error occurred: ${err.message}`); // send a generic error response to the user res.status(500).send('something went wrong!'); next();});
登录后复制使用错误记录工具不仅可以保护您的应用程序,还可以使您更快地识别和解决问题,同时保持清晰的日志,以简化故障排除。 奖励:配置安全的http标头express中的默认http标头不是很安全。要提高应用程序的安全性,请使用helmet.js
库,这是一个设置安全http标头的中间件。它易于实现,只需安装软件包,在项目中初始化它,然后将其设置为设置。
// ...const helmet = require('helmet');const app = express();app.use(helmet());// ...
登录后复制
头盔有助于防止诸如插锁,跨站点脚本和其他常见漏洞之类的威胁。虽然添加http标头似乎是一小步,但它为潜在的攻击提供了有力的防御。通过添加此额外的安全层,您可以使您的应用程序更难利用。> 结论
>确保您的node.js应用程序一开始可能会感到不知所措,但是您采取的每一步都会加强它并建立对用户的信任。通过了解潜在的风险,使用正确的工具并遵循安全最佳实践,您可以在不断变化的在线世界中确保应用程序安全。
如果您发现这篇文章有帮助,请不要在这里停止!查看我有关每个开发人员应该知道的 git命令的文章,我介绍了如何安全地撤消更改,探索您的项目历史记录,像专业人士一样,并保持分支机构清洁和井井有条。关注更多编码技巧和技巧,以提高您的技能。继续探索和愉快的编码!
以上就是您是在犯这些Nodejs安全错误吗?的详细内容,更多请关注【创想鸟】其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至253000106@qq.com举报,一经查实,本站将立刻删除。
发布者:PHP中文网,转转请注明出处:https://www.chuangxiangniao.com/p/2640501.html
