我要评论介绍
>在2016年,当黑客通过利用私人github存储库中的暴露凭据访问其aws s3服务器时,uber面临严重的安全漏洞。该服务器包含5700万用户和60万驱动程序的敏感数据。违规发生是由于不良的访问控制和凭证管理在其node.js应用程序中。如果像uber这样的技术巨头可能会发生这种情况,那么您的应用程序呢?如果您要建立初创公司或管理企业,该如何保护自己?
本文将探讨确保node.js applications的最佳实践。无论您是初学者还是您已经开发了多年,采用这些工具和策略都可以保护您的应用程序免受违规的影响。到最后,您将知道如何保护您的应用程序并避免损失数百万美元的错误。
漏洞和安全风险保护您的应用程序的最有效方法是在黑客利用它们之前解决漏洞。攻击者通常在您的代码,设计或配置中搜索弱点,以获得未经授权的访问。以下是一些最常见的漏洞:
- 注射攻击:
sql注入,命令注射和跨站点脚本(xss)是一些最常见的威胁。攻击者使用弱输入验证来注入恶意代码,从而导致未经授权的访问或窃取敏感数据。 >弱身份验证: 依靠弱密码或不安全的会话管理使您的用户的数据处于危险之中。实施不良的身份验证可能会导致诸如蛮力攻击和会议劫持之类的问题。 - >
拒绝服务(dos)攻击:
- >过时的依赖性:
不正确的错误处理:> - >揭示堆栈跟踪,数据库详细信息或文件路径的错误消息可以为攻击者提供有关您应用程序的宝贵线索。 输入验证和消毒
为了保护您的应用程序免受注射攻击,请始终验证用户输入以保护您的系统免受恶意或不正确数据。使用诸如- >验证器或> dompurify
的工具有效地消毒输入。此外,使用 - >过时的依赖性:
之类的工具实施严格的验证规则,以确保仅处理有效的数据。
在此示例中,我们使用> valivator.js来删除任何额外的空格,然后使用
// ...
const validator = require('validator');
const joi = require('joi');
app.post('/submit', (req, res) => {
// sanitize the email by trimming extra spaces
const sanitizedemail = validator.trim(req.body.email);
// validate the sanitized email
const schema = joi.object({
email: joi.string().email().required().label("email")
});
const { error } = schema.validate({ email: sanitizedemail });
if (error)
return res.status(400).json({ message: error.details[0].message });
// ...
});
>
>> oauth 2.0:使用> passport.js
的oauth 2.0协议实现安全身份验证。 passport提供了广泛的策略,包括通过像google这样值得信赖的提供商登录。首先,只需安装
以及所需的特定策略,然后在应用程序中进行配置。
在此示例中,我们正在使用
> passport-google-oauth20策略来验证用户:
14926428773
hash密码:
const bcrypt = require('bcrypt');
// ...
const saltrounds = 10;
const hashedpassword = await bcrypt.hash(password, saltrounds);
// ...
>避免使用默认会话cookie名称;设置自定义cookie名称,并启用安全选项,例如httponly
和 secure。这些措施大大降低了攻击者劫持用户会议的风险。>
const session = require('cookie-session')
// ...
app.use(
session({
name: 'custom-cookie-name',
secret: 'your-secret-key',
cookie: {
httponly: true,
secure: true, // use true in production with https
maxage: 60 * 60 * 1000, // 1 hour
},
})
);
// ...
>实施速率限制以防止您的应用崩溃。费率限制控制用户可以在给定的时间范围内提出多少请求。在下面的示例中,我们使用的是
express-rate-limit库来限制登录尝试在15分钟的窗口中的每个ip地址。
const ratelimit = require('express-rate-limit');
const limiter = ratelimit({
windowms: 15 * 60 * 1000, // 15 minutes
max: 5, // limit each ip to 5 requests per window
message: 'too many login attempts, please try again later.',
});
app.use('/login', limiter);
>过时的库可以为攻击者打开后门,这对于保持依赖性更新至关重要。使用诸如npm审核之类的命令来检测和解决任何漏洞。此外,定期查看您的package.json
文件,然后删除任何未使用的软件包以维护您的应用程序的安全性。
$ npm audit fix
登录后复制
>要进一步增强应用程序的安全性,请考虑使用$ npm audit fix
。它提供了一个cli和github集成,可针对snyk的开源数据库扫描您的应用程序,以检测依赖关系中的任何已知漏洞。入门很简单,只需安装snyk,导航到您的项目目录,然后运行
snyk test
$ npm install -g snyk $ cd your-app $ snyk test
错误处理和记录
避免将内部错误暴露于用户。相反,使用 winston>或
bunyan
const winston = require('winston');
// configure winston logging
const logger = winston.createlogger({
level: 'info',
format: winston.format.json(),
transports: [
new winston.transports.console(),
new winston.transports.file({ filename: 'logs/app.log' })
]
});
// middleware for error handling
app.use((err, req, res, next) => {
// log the error, without exposing sensitive details to the user
logger.error(`error occurred: ${err.message}`);
// send a generic error response to the user
res.status(500).send('something went wrong!');
next();
});
库,这是一个设置安全http标头的中间件。它易于实现,只需安装软件包,在项目中初始化它,然后将其设置为设置。
// ...
const helmet = require('helmet');
const app = express();
app.use(helmet());
// ...
头盔有助于防止诸如插锁,跨站点脚本和其他常见漏洞之类的威胁。虽然添加http标头似乎是一小步,但它为潜在的攻击提供了有力的防御。通过添加此额外的安全层,您可以使您的应用程序更难利用。> 结论
>确保您的node.js应用程序一开始可能会感到不知所措,但是您采取的每一步都会加强它并建立对用户的信任。通过了解潜在的风险,使用正确的工具并遵循安全最佳实践,您可以在不断变化的在线世界中确保应用程序安全。
如果您发现这篇文章有帮助,请不要在这里停止!查看我有关每个开发人员应该知道的 git命令的文章,我介绍了如何安全地撤消更改,探索您的项目历史记录,像专业人士一样,并保持分支机构清洁和井井有条。关注更多编码技巧和技巧,以提高您的技能。继续探索和愉快的编码!
以上就是您是在犯这些nodejs安全错误吗?的详细内容,更多请关注代码网其它相关文章!
发表评论