노드 애플리케이션에서 타이밍 공격을 사용할 때 어떤 보안 취약점이 존재합니까?-JS 튜토리얼-php.cn

집

웹 프론트엔드

JS 튜토리얼

노드 애플리케이션에서 타이밍 공격을 사용할 때 어떤 보안 취약점이 존재합니까?

亚连

Jun 02, 2018 pm 05:09 PM

node존재하다

이 글은 원칙에 따라 노드 애플리케이션의 타이밍 공격 보안 취약점을 분석합니다. 관심 있는 친구들은 참고할 수 있습니다.

머리말

프로젝트에서 eslint 오류 잠재적인 타이밍 공격이 발생했다면 무시하지 마세요! 이것은 보안 문제입니다. 타이밍 공격입니다.
eslint 오류의 원인

먼저 eslint는 eslint-plugin-security라는 플러그인을 도입합니다. 이 플러그인은 잠재적인 보안 문제를 식별하는 데 도움이 되지만, 플러그인의 소스 코드 주소는 오탐을 유발할 수도 있습니다. 에 첨부되어 있습니다.

var keywords = &#39;((&#39; + [
  &#39;password&#39;,
  &#39;secret&#39;,
  &#39;api&#39;,
  &#39;apiKey&#39;,
  &#39;token&#39;,
  &#39;auth&#39;,
  &#39;pass&#39;,
  &#39;hash&#39;
 ].join(&#39;)|(&#39;) + &#39;))&#39;;

 var re = new RegExp(&#39;^&#39; + keywords + &#39;$&#39;, &#39;im&#39;);

 function containsKeyword (node) {
  if (node.type === &#39;Identifier&#39;) {
   if (re.test(node.name)) return true;
  }
  return
 }
 if (node.test.operator === &#39;==&#39; || node.test.operator === &#39;===&#39; || node.test.operator === &#39;!=&#39; || node.test.operator === &#39;!==&#39;) {
  // 在这里 console 出错误
 }

우선 이 플러그인은 이번에는 연산자가 ==, ===,인지 판단해 줍니다! =,! ==둘 중 하나, 두 번째로 식별자(필드 이름)에 특수 문자열인 비밀번호, 비밀, api, apiKey, 토큰, 인증, 패스, 해시가 포함되어 있는지 확인하세요. 두 조건이 동시에 충족되면 eslint가 컴파일하고 보고합니다. 오류 잠재적인 타이밍 공격.

공격 정의

타이밍 공격: 타이밍 공격/사이드 채널 공격에 속합니다. 사이드 채널 공격은 암호화 및 복호화된 데이터, 데이터 비교 시간, 채널 외부의 정보를 이용하는 것을 말합니다. 암호문 전송 트래픽의 공격 방식은 "부업 공격"과 동일합니다.

공격 지점

먼저 js에서 두 문자열의 크기를 비교하는 원리에 대해 이야기해 보겠습니다.

문자열 길이가 0인지 판단합니다. 0이면 결과를 직접 비교할 수 있습니다. , 두 번째 단계를 입력합니다.
문자열은 문자로 구성되며 각 문자의 charCode로 비교됩니다.
두 번째 단계에서는 한 문자만 다르면 false를 반환하고 나머지 문자는 비교되지 않습니다.

단일 문자의 비교는 매우 빠르며 공격자는 측정 시간 정확도를 마이크로초 단위로 세분화하고 응답 시간의 차이를 통해 어떤 문자가 사용되지 않는지 계산할 수 있습니다. Python에서는 스크립트를 실행하면 올바른 비밀번호를 시험해 볼 수 있으며 비밀번호 크래킹의 난이도도 많이 줄어듭니다.

취약한 작성 방법

if (user.password === password) {
  return { state: true }; // 登录成功
 }

방어 조치

입력이 다를 때마다 처리 시간이 달라집니다. 이를 방지하기 위해서는 입력된 비밀번호와 관계없이 문자열 비교에 동일한 시간이 걸리도록 해야 합니다.
공격에 취약하지 않은 글쓰기

시스템의 각 비밀번호 길이는 정해져 있습니다. 비밀번호가 동일한지 비교할 때마다 올바른 비밀번호의 길이를 비교 횟수로 삼아 사용하세요. XOR은 각 문자의 유니코드 인코딩이 동일한지 비교하고 각 비교 결과를 배열에 저장하고 마지막으로 배열의 각 요소가 0인지 확인합니다(0은 두 문자가 동일함을 의미함).

 // psdReceived 为用户输入密码；
 // psdDb 为系统中存储的正确用户密码
 const correctUser = (psdDb, psdReceived) => {
  const state = [];
  for (let i = 0; i < psdDb.length; ++i) {
   if (!psdReceived[i]) {
    state.push(false);
   } else {
    state.push(psdReceived.charCodeAt(i) ^ psdDb.charCodeAt(i));
   }
  }
  return state.length !== 0 && state.every(item => !item);
 }

3자 패키지 권장 사항

npm 모듈 cryptiles를 사용하여 이 문제를 해결할 수도 있습니다.

import cryptiles from &#39;cryptiles&#39;;

......
return cryptiles.fixedTimeCimparison(passwordFromDb, passwordReceived);

위 내용은 제가 모든 사람을 위해 정리한 내용입니다. 앞으로 모든 사람에게 도움이 되기를 바랍니다.

NodeJS 상위 프로세스와 하위 프로세스 리소스 공유 원리 및 구현 방법

vue에서 이미지 및 파일 업로드를 구현하는 샘플 코드

vue axios 양식 이미지 업로드 예시

위 내용은 노드 애플리케이션에서 타이밍 공격을 사용할 때 어떤 보안 취약점이 존재합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

JavaScript 엔진 : 구현 비교Apr 13, 2025 am 12:05 AM

각각의 엔진의 구현 원리 및 최적화 전략이 다르기 때문에 JavaScript 엔진은 JavaScript 코드를 구문 분석하고 실행할 때 다른 영향을 미칩니다. 1. 어휘 분석 : 소스 코드를 어휘 단위로 변환합니다. 2. 문법 분석 : 추상 구문 트리를 생성합니다. 3. 최적화 및 컴파일 : JIT 컴파일러를 통해 기계 코드를 생성합니다. 4. 실행 : 기계 코드를 실행하십시오. V8 엔진은 즉각적인 컴파일 및 숨겨진 클래스를 통해 최적화하여 Spidermonkey는 유형 추론 시스템을 사용하여 동일한 코드에서 성능이 다른 성능을 제공합니다.

브라우저 너머 : 실제 세계의 JavaScriptApr 12, 2025 am 12:06 AM

실제 세계에서 JavaScript의 응용 프로그램에는 서버 측 프로그래밍, 모바일 애플리케이션 개발 및 사물 인터넷 제어가 포함됩니다. 1. 서버 측 프로그래밍은 Node.js를 통해 실현되며 동시 요청 처리에 적합합니다. 2. 모바일 애플리케이션 개발은 재교육을 통해 수행되며 크로스 플랫폼 배포를 지원합니다. 3. Johnny-Five 라이브러리를 통한 IoT 장치 제어에 사용되며 하드웨어 상호 작용에 적합합니다.

Next.js (백엔드 통합)로 멀티 테넌트 SAAS 애플리케이션 구축Apr 11, 2025 am 08:23 AM

일상적인 기술 도구를 사용하여 기능적 다중 테넌트 SaaS 응용 프로그램 (Edtech 앱)을 구축했으며 동일한 작업을 수행 할 수 있습니다. 먼저, 다중 테넌트 SaaS 응용 프로그램은 무엇입니까? 멀티 테넌트 SAAS 응용 프로그램은 노래에서 여러 고객에게 서비스를 제공 할 수 있습니다.

Next.js (Frontend Integration)를 사용하여 멀티 테넌트 SaaS 응용 프로그램을 구축하는 방법Apr 11, 2025 am 08:22 AM

이 기사에서는 Contrim에 의해 확보 된 백엔드와의 프론트 엔드 통합을 보여 주며 Next.js를 사용하여 기능적인 Edtech SaaS 응용 프로그램을 구축합니다. Frontend는 UI 가시성을 제어하기 위해 사용자 권한을 가져오고 API가 역할 기반을 준수하도록합니다.

JavaScript : 웹 언어의 다양성 탐색Apr 11, 2025 am 12:01 AM

JavaScript는 현대 웹 개발의 핵심 언어이며 다양성과 유연성에 널리 사용됩니다. 1) 프론트 엔드 개발 : DOM 운영 및 최신 프레임 워크 (예 : React, Vue.js, Angular)를 통해 동적 웹 페이지 및 단일 페이지 응용 프로그램을 구축합니다. 2) 서버 측 개발 : Node.js는 비 차단 I/O 모델을 사용하여 높은 동시성 및 실시간 응용 프로그램을 처리합니다. 3) 모바일 및 데스크탑 애플리케이션 개발 : 크로스 플랫폼 개발은 개발 효율을 향상시키기 위해 반응 및 전자를 통해 실현됩니다.

JavaScript의 진화 : 현재 동향과 미래 전망Apr 10, 2025 am 09:33 AM

JavaScript의 최신 트렌드에는 Typescript의 Rise, 현대 프레임 워크 및 라이브러리의 인기 및 WebAssembly의 적용이 포함됩니다. 향후 전망은보다 강력한 유형 시스템, 서버 측 JavaScript 개발, 인공 지능 및 기계 학습의 확장, IoT 및 Edge 컴퓨팅의 잠재력을 포함합니다.

Demystifying JavaScript : 그것이하는 일과 중요한 이유Apr 09, 2025 am 12:07 AM

JavaScript는 현대 웹 개발의 초석이며 주요 기능에는 이벤트 중심 프로그래밍, 동적 컨텐츠 생성 및 비동기 프로그래밍이 포함됩니다. 1) 이벤트 중심 프로그래밍을 사용하면 사용자 작업에 따라 웹 페이지가 동적으로 변경 될 수 있습니다. 2) 동적 컨텐츠 생성을 사용하면 조건에 따라 페이지 컨텐츠를 조정할 수 있습니다. 3) 비동기 프로그래밍은 사용자 인터페이스가 차단되지 않도록합니다. JavaScript는 웹 상호 작용, 단일 페이지 응용 프로그램 및 서버 측 개발에 널리 사용되며 사용자 경험 및 크로스 플랫폼 개발의 유연성을 크게 향상시킵니다.

Python 또는 JavaScript가 더 좋습니까?Apr 06, 2025 am 12:14 AM

Python은 데이터 과학 및 기계 학습에 더 적합한 반면 JavaScript는 프론트 엔드 및 풀 스택 개발에 더 적합합니다. 1. Python은 간결한 구문 및 풍부한 라이브러리 생태계로 유명하며 데이터 분석 및 웹 개발에 적합합니다. 2. JavaScript는 프론트 엔드 개발의 핵심입니다. Node.js는 서버 측 프로그래밍을 지원하며 풀 스택 개발에 적합합니다.

See all articles