Maison > Article > interface Web > Quelles vulnérabilités de sécurité existent lors de l'utilisation d'une attaque temporelle dans les applications de nœuds ?
Quelles vulnérabilités de sécurité existent lors de l'utilisation d'une attaque temporelle dans les applications de nœuds ?
- 亚连original
- 2018-06-02 17:09:581775parcourir
Cet article analyse la vulnérabilité de sécurité des attaques temporelles des applications de nœuds sur la base des principes. Les amis intéressés peuvent le lire pour référence.
Avant-propos
Si vous avez rencontré une erreur eslint Potentielle attaque de timing dans votre projet, ne l'ignorez pas ! Il s’agit d’un problème de sécurité : le timing des attaques.
Cause du rapport d'erreur eslint
Tout d'abord, eslint introduit un plug-in appelé eslint-plugin-security. Ce plug-in aide à identifier les problèmes de sécurité potentiels, mais il peut également provoquer des faux positifs. Adresse du code source du plug-in.
var keywords = '((' + [
'password',
'secret',
'api',
'apiKey',
'token',
'auth',
'pass',
'hash'
].join(')|(') + '))';
var re = new RegExp('^' + keywords + '$', 'im');
function containsKeyword (node) {
if (node.type === 'Identifier') {
if (re.test(node.name)) return true;
}
return
}
if (node.test.operator === '==' || node.test.operator === '===' || node.test.operator === '!=' || node.test.operator === '!==') {
// 在这里 console 出错误
}Tout d'abord, ce plug-in déterminera si l'opérateur cette fois est ==, ===, ! =,! ==L'un d'eux, vérifiez deuxièmement si l'identifiant (nom du champ) contient la chaîne spéciale password, secret, api, apiKey, token, auth, pass, hash. Si les deux conditions sont remplies en même temps, eslint compilera et rapportera. une erreur Attaque temporelle potentielle .
Définition de l'attaque
attaque temporelle : attaque temporelle, qui appartient à l'attaque par canal secondaire/attaque par canal secondaire fait référence à l'utilisation d'informations en dehors du canal, Comme le cryptage et le déchiffrement, la méthode d'attaque est basée sur les données, le temps de comparaison des données, le trafic de transmission de texte chiffré et les canaux, ce qui équivaut à « faire des insinuations ».
Point d'attaque
Parlons d'abord du principe de js comparant la taille de deux chaînes :
Déterminer si la longueur de la chaîne est 0. Si elle est 0, le résultat peut être directement comparé sinon, passez à la deuxième étape ;
Les chaînes sont composées de caractères et sont comparées par le charCode de chaque caractère.
Dans la deuxième étape, tant qu'un caractère est différent, renvoyez false et les caractères restants ne seront pas comparés.
La comparaison de caractères uniques est très rapide. L'attaquant peut affiner la précision du temps de mesure à la microseconde et déduire quel caractère n'est pas utilisé de la différence de temps de réponse. encore et encore ou en écrivant un script en Python à exécuter, vous pouvez essayer le mot de passe correct, et la difficulté de déchiffrage du mot de passe est également considérablement réduite.
Écriture vulnérable
if (user.password === password) {
return { state: true }; // 登录成功
}Mesures défensives
Chaque entrée différente entraînera un temps de traitement différent. Pour éviter cela, nous devons faire en sorte que la comparaison de chaînes prenne le même temps quel que soit le mot de passe saisi.
Écriture non vulnérable aux attaques
La longueur de chaque mot de passe dans le système est fixe Chaque fois que vous comparez si le mot de passe est le même, utilisez la longueur du mot de passe correct comme nombre de comparaisons. , et utilisez XOR pour comparer chaque caractère. Vérifiez si les encodages Unicode sont égaux, stockez chaque résultat de comparaison dans un tableau, et enfin déterminez si chaque élément du tableau est 0 (0 signifie que les deux caractères sont identiques).
// psdReceived 为用户输入密码;
// psdDb 为系统中存储的正确用户密码
const correctUser = (psdDb, psdReceived) => {
const state = [];
for (let i = 0; i < psdDb.length; ++i) {
if (!psdReceived[i]) {
state.push(false);
} else {
state.push(psdReceived.charCodeAt(i) ^ psdDb.charCodeAt(i));
}
}
return state.length !== 0 && state.every(item => !item);
}Recommandation de package tiers
Vous pouvez également utiliser les cryptiles du module npm pour résoudre ce problème
import cryptiles from 'cryptiles'; ...... return cryptiles.fixedTimeCimparison(passwordFromDb, passwordReceived);
Ce qui précède est ce que j'ai compilé pour tout le monde. J'espère que cela sera utile à l'avenir.
Articles connexes :
Téléchargement d'images et de fichiers dans vue Exemple de code
Instance de soumission du formulaire vue axios pour télécharger des images
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Articles Liés
Voir plus- Une analyse approfondie du composant de groupe de liste Bootstrap
- Explication détaillée du currying de la fonction JavaScript
- Exemple complet de génération de mot de passe JS et de détection de force (avec téléchargement du code source de démonstration)
- Angularjs intègre l'interface utilisateur WeChat (weui)
- Comment basculer rapidement entre le chinois traditionnel et le chinois simplifié avec JavaScript et l'astuce permettant aux sites Web de prendre en charge le basculement entre les compétences en chinois simplifié et traditionnel_javascript