每一个 node 应用可能存在的 timing-attack 安全漏洞
前言
假如你在项目中遇到过 eslint 报错 Potential timing attack ,不可忽视!这是一个涉及到安全的问题:时序攻击。前端
eslint 报错缘由
- 首先
eslint引入了一个叫作eslint-plugin-security的插件,这个插件有助于识别出潜在的安全问题,但同时也会产生误报的问题,附上插件 源码地址。
var keywords = '((' + [
'password',
'secret',
'api',
'apiKey',
'token',
'auth',
'pass',
'hash'
].join(')|(') + '))';
var re = new RegExp('^' + keywords + '$', 'im');
function containsKeyword (node) {
if (node.type === 'Identifier') {
if (re.test(node.name)) return true;
}
return
}
if (node.test.operator === '==' || node.test.operator === '===' || node.test.operator === '!=' || node.test.operator === '!==') {
// 在这里 console 出错误
}
复制代码
首先这个插件会判断本次的运算符是否为 ==、===、!=、!==其中一种,其次检查标识符(字段名)是否包含特殊字符串password、secret、api、apiKey、token、auth、pass、hash,若是同时知足两者状况,eslint 就会编译报错 Potential timing attack。node
攻击定义
timing attack:时序攻击,属于侧信道攻击 / 旁路攻击,侧信道攻击指的是利用信道外的信息,好比加解密的数据、数据比较时间、密文传输的流量和途径进行攻击的方式,至关因而“旁敲侧击”。git
攻击点
-
首先讲讲
js比较两个字符串大小的原理:github- 判断字符串长度是否为
0,若是为0,就能够直接比较出结果;反之,进入到第二步。 - 字符串是由一个个字符组成,经过每一个字符的
charCode进行比较。 - 在第二步中,只要出现一个字符不一样,就
return false,剩余的字符再也不作比较。
- 判断字符串长度是否为
-
单个字符的比较是很快的,攻击者能够细化测量时间精度到微秒,经过响应时间的差别推算出是从哪个字符开始不用的,这样一次次实验或者用 Python 写个脚本去跑,就能够试出正确的密码,密码破解的难度也下降了很多。npm
容易受攻击的写法
if (user.password === password) {
return { state: true }; // 登陆成功
}
复制代码
防护措施
每次不一样的输入会形成处理时间的不一样。为了防止它,咱们须要使字符串比较花费相同的时间量,不管输入的密码是什么。api
不容易受攻击的写法
系统中每个密码的长度是固定的,每次比较密码是否相同时,使用正确密码的长度做为比较次数,使用异或比较每个字符的 Unicode 编码是否相等,而且把每一次的比较结果存放到一个数组中,最后再判断数组的每个元素是否为0(为 0 表示两个字符相同)。数组
// psdReceived 为用户输入密码;
// psdDb 为系统中存储的正确用户密码
const correctUser = (psdDb, psdReceived) => {
const state = [];
for (let i = 0; i < psdDb.length; ++i) {
if (!psdReceived[i]) {
state.push(false);
} else {
state.push(psdReceived.charCodeAt(i) ^ psdDb.charCodeAt(i));
}
}
return state.length !== 0 && state.every(item => !item);
}
复制代码
三方包推荐
也可使用 cryptiles 这个 npm 模块来解决这个问题安全
import cryptiles from 'cryptiles';
......
return cryptiles.fixedTimeCimparison(passwordFromDb, passwordReceived);
复制代码
关注微信公众号:创宇前端(KnownsecFED),码上获取更多优质干货!微信
相关文章
- 1. 平均每一个ICO项目存在5个高危漏洞,全部ICO移动应用都存在安全漏洞
- 2. HTTPS漏洞导致1500项iOS应用存在安全隐患
- 3. EOS智能合约一样存在"溢出漏洞"的可能
- 4. 探索lodash的一个安全漏洞
- 5. 不安全配置Nginx可能致使的安全漏洞
- 6. node/js 漏洞_6个可用于检查Node.js中漏洞的工具
- 7. 应用安全-CMF/CMS漏洞整理
- 8. 应用安全 - 中间件漏洞 - Nostromo
- 9. WinRAR存在严重的安全漏洞影响5亿用户
- 10. 漏洞安全
- 更多相关文章...
- • Redis在Java Web中的应用 - Redis教程
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • TiDB 在摩拜单车在线数据业务的应用和实践
- • Composer 安装与使用
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
