この記事は、原則に基づいてノード アプリケーションのタイミング攻撃セキュリティ脆弱性を分析します。興味のある方は参考として読んでください。
はじめに
プロジェクトで eslint エラー、潜在的なタイミング攻撃が発生した場合は、無視しないでください。これはセキュリティ上の問題、つまりタイミング攻撃です。
eslint エラーの原因
まず、eslint は eslint-plugin-security というプラグインを導入していますが、このプラグインは潜在的なセキュリティ問題を特定するのに役立ちますが、プラグインのソース コード アドレスも原因となります。に付いています。
var keywords = '((' + [ 'password', 'secret', 'api', 'apiKey', 'token', 'auth', 'pass', 'hash' ].join(')|(') + '))'; var re = new RegExp('^' + keywords + '$', 'im'); function containsKeyword (node) { if (node.type === 'Identifier') { if (re.test(node.name)) return true; } return } if (node.test.operator === '==' || node.test.operator === '===' || node.test.operator === '!=' || node.test.operator === '!==') { // 在这里 console 出错误 }
まず、このプラグインは今回の演算子が ==, ===,! であるかどうかを判定します。 =、! ==そのうちの 1 つ、次に識別子 (フィールド名) に特別な文字列パスワード、シークレット、API、APIKey、トークン、認証、パス、ハッシュが含まれているかどうかを確認します。両方の条件が同時に満たされた場合、eslint はコンパイルしてレポートします。エラー 潜在的なタイミング攻撃。
攻撃の定義
タイミング攻撃: サイドチャネル攻撃/サイドチャネル攻撃に属するタイミング攻撃とは、暗号化および復号化されたデータ、データの比較時間、データなどのチャネル外の情報の使用を指します。攻撃方法は「傍観者攻撃」に相当します。
攻撃ポイント
まず、js で 2 つの文字列のサイズを比較する原理について説明します。
文字列の長さが 0 かどうかを判断します。0 の場合は結果を直接比較できます。 、2番目のステップに入ります。
文字列は文字で構成され、各文字の charCode によって比較されます。
2 番目のステップでは、1 文字が異なる限り false を返し、残りの文字は比較されません。
単一文字の比較は非常に高速であり、攻撃者は測定時間の精度をマイクロ秒まで調整し、応答時間の違いからどの文字が使用されていないかを計算することができます。このようにして、何度も実験したり、コードを記述したりできます。 Python でスクリプトを実行すると、正しいパスワードを試すことができ、パスワード解析の難易度も大幅に下がります。
脆弱な書き込み方法
if (user.password === password) { return { state: true }; // 登录成功 }
防御策
入力が異なると処理時間も異なります。これを防ぐには、入力されたパスワードに関係なく、文字列比較にかかる時間が同じになるようにする必要があります。
攻撃を受けにくい書き込み
システム内の各パスワードの長さは固定されており、パスワードが同じかどうかを比較するたびに、正しいパスワードの長さを比較回数としてXORを使用して比較します。各文字の Unicode エンコードが等しいかどうかを確認し、各比較結果を配列に格納し、最後に配列の各要素が 0 であるかどうかを判断します (0 は 2 つの文字が同じであることを意味します)。
// psdReceived 为用户输入密码; // psdDb 为系统中存储的正确用户密码 const correctUser = (psdDb, psdReceived) => { const state = []; for (let i = 0; i < psdDb.length; ++i) { if (!psdReceived[i]) { state.push(false); } else { state.push(psdReceived.charCodeAt(i) ^ psdDb.charCodeAt(i)); } } return state.length !== 0 && state.every(item => !item); }
スリーパーティパッケージの推奨事項
この問題を解決するには、npm モジュール cryptiles を使用することもできます
import cryptiles from 'cryptiles'; ...... return cryptiles.fixedTimeCimparison(passwordFromDb, passwordReceived);
上記は、私が皆さんのためにまとめたものであり、将来的に皆さんのお役に立てれば幸いです。
関連記事:
NodeJSの親プロセスと子プロセスのリソース共有原理と実装方法
以上がノード アプリケーションでタイミング攻撃を使用する場合、どのようなセキュリティ脆弱性が存在しますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

Pythonは、スムーズな学習曲線と簡潔な構文を備えた初心者により適しています。 JavaScriptは、急な学習曲線と柔軟な構文を備えたフロントエンド開発に適しています。 1。Python構文は直感的で、データサイエンスやバックエンド開発に適しています。 2。JavaScriptは柔軟で、フロントエンドおよびサーバー側のプログラミングで広く使用されています。

PythonとJavaScriptには、コミュニティ、ライブラリ、リソースの観点から、独自の利点と短所があります。 1)Pythonコミュニティはフレンドリーで初心者に適していますが、フロントエンドの開発リソースはJavaScriptほど豊富ではありません。 2)Pythonはデータサイエンスおよび機械学習ライブラリで強力ですが、JavaScriptはフロントエンド開発ライブラリとフレームワークで優れています。 3)どちらも豊富な学習リソースを持っていますが、Pythonは公式文書から始めるのに適していますが、JavaScriptはMDNWebDocsにより優れています。選択は、プロジェクトのニーズと個人的な関心に基づいている必要があります。

C/CからJavaScriptへのシフトには、動的なタイピング、ゴミ収集、非同期プログラミングへの適応が必要です。 1)C/Cは、手動メモリ管理を必要とする静的に型付けられた言語であり、JavaScriptは動的に型付けされ、ごみ収集が自動的に処理されます。 2)C/Cはマシンコードにコンパイルする必要がありますが、JavaScriptは解釈言語です。 3)JavaScriptは、閉鎖、プロトタイプチェーン、約束などの概念を導入します。これにより、柔軟性と非同期プログラミング機能が向上します。

さまざまなJavaScriptエンジンは、各エンジンの実装原則と最適化戦略が異なるため、JavaScriptコードを解析および実行するときに異なる効果をもたらします。 1。語彙分析:ソースコードを語彙ユニットに変換します。 2。文法分析:抽象的な構文ツリーを生成します。 3。最適化とコンパイル:JITコンパイラを介してマシンコードを生成します。 4。実行:マシンコードを実行します。 V8エンジンはインスタントコンピレーションと非表示クラスを通じて最適化され、Spidermonkeyはタイプ推論システムを使用して、同じコードで異なるパフォーマンスパフォーマンスをもたらします。

現実世界におけるJavaScriptのアプリケーションには、サーバー側のプログラミング、モバイルアプリケーション開発、モノのインターネット制御が含まれます。 2。モバイルアプリケーションの開発は、ReactNativeを通じて実行され、クロスプラットフォームの展開をサポートします。 3.ハードウェアの相互作用に適したJohnny-Fiveライブラリを介したIoTデバイス制御に使用されます。

私はあなたの日常的な技術ツールを使用して機能的なマルチテナントSaaSアプリケーション(EDTECHアプリ)を作成しましたが、あなたは同じことをすることができます。 まず、マルチテナントSaaSアプリケーションとは何ですか? マルチテナントSaaSアプリケーションを使用すると、Singの複数の顧客にサービスを提供できます

この記事では、許可によって保護されたバックエンドとのフロントエンド統合を示し、next.jsを使用して機能的なedtech SaaSアプリケーションを構築します。 FrontEndはユーザーのアクセス許可を取得してUIの可視性を制御し、APIリクエストがロールベースに付着することを保証します

JavaScriptは、現代のWeb開発のコア言語であり、その多様性と柔軟性に広く使用されています。 1)フロントエンド開発:DOM操作と最新のフレームワーク(React、Vue.JS、Angularなど)を通じて、動的なWebページとシングルページアプリケーションを構築します。 2)サーバー側の開発:node.jsは、非ブロッキングI/Oモデルを使用して、高い並行性とリアルタイムアプリケーションを処理します。 3)モバイルおよびデスクトップアプリケーション開発:クロスプラットフォーム開発は、反応および電子を通じて実現され、開発効率を向上させます。


ホットAIツール

Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。

Undress AI Tool
脱衣画像を無料で

Clothoff.io
AI衣類リムーバー

AI Hentai Generator
AIヘンタイを無料で生成します。

人気の記事

ホットツール

mPDF
mPDF は、UTF-8 でエンコードされた HTML から PDF ファイルを生成できる PHP ライブラリです。オリジナルの作者である Ian Back は、Web サイトから「オンザフライ」で PDF ファイルを出力し、さまざまな言語を処理するために mPDF を作成しました。 HTML2FPDF などのオリジナルのスクリプトよりも遅く、Unicode フォントを使用すると生成されるファイルが大きくなりますが、CSS スタイルなどをサポートし、多くの機能強化が施されています。 RTL (アラビア語とヘブライ語) や CJK (中国語、日本語、韓国語) を含むほぼすべての言語をサポートします。ネストされたブロックレベル要素 (P、DIV など) をサポートします。

SAP NetWeaver Server Adapter for Eclipse
Eclipse を SAP NetWeaver アプリケーション サーバーと統合します。

WebStorm Mac版
便利なJavaScript開発ツール

MinGW - Minimalist GNU for Windows
このプロジェクトは osdn.net/projects/mingw に移行中です。引き続きそこでフォローしていただけます。 MinGW: GNU Compiler Collection (GCC) のネイティブ Windows ポートであり、ネイティブ Windows アプリケーションを構築するための自由に配布可能なインポート ライブラリとヘッダー ファイルであり、C99 機能をサポートする MSVC ランタイムの拡張機能が含まれています。すべての MinGW ソフトウェアは 64 ビット Windows プラットフォームで実行できます。

VSCode Windows 64 ビットのダウンロード
Microsoft によって発売された無料で強力な IDE エディター
