>  기사  >  웹 프론트엔드  >  Node의 세 가지 일반적인 보안 측면에 대한 간략한 분석

Node의 세 가지 일반적인 보안 측면에 대한 간략한 분석

青灯夜游
青灯夜游앞으로
2023-02-13 19:26:352232검색

이 글에서는 Node의 세 가지 일반적인 보안 예방 조치에 대해 설명합니다. 주로 Node 서버를 개발할 때 세 가지 보안 측면을 설명합니다.

Node의 세 가지 일반적인 보안 측면에 대한 간략한 분석

1. 예방 방법

1. SQL 주입

이는 웹 2.0 이후 인간-컴퓨터 상호 작용으로 등장한 가장 원시적이고 간단한 공격 방법입니다

.

주로 SQL 조각을 입력하고 최종적으로 이를 공격하는 SQL 코드에 연결하는 방식입니다

노드를 사용하여 데이터베이스에 연결할 때 일반적으로 노드 측에 sql 문을 작성하여 데이터베이스를 쿼리합니다. 예를 들어 아래

-- 这是一个简易的登录判断sql语句, 输入 username 和 password 在 users 表中进行用户登录验证,  然后获取用户的地址和年龄
select address, age from users where username=${username} and password=${password}

하지만 사용자 이름에 뭔가를하여 그가 SQL 문을 전달하게 하면 매우 위험할 것입니다. [관련 튜토리얼 권장 사항: nodejs 비디오 튜토리얼在 username 中做点手脚 使他传入的是一个sql语句这样就极其的危险  【相关教程推荐:nodejs视频教程编程教学

-- username 输入为 ali -- 
-- 上面这段 sql 就会被解析成这样 
select address, age from users where username=ali -- and password=${password}

看上面的代码片段可以发现, -- 在sql中是属于注释的存在, 所以如果当我在 sql 查询动态获取用户输入的 username 字段中, 如果结尾是 -- 就会把后面password的条件验证去掉

也就是代表用户无论输入什么 password, 只要 username 字段在数据库中存在就可以拿到对应的信息

当然攻击者也可以在后面继续拼接删库的 sql 语句,这其实是更加危险的

-- username 输入为 ali; delete from users where username="ali" --
-- 就会拼接成下面这种语句 这是极其危险的
select address, age from users where username=ali; delete from users where username="ali" -- and password=${password}

处理方案

在 node 开发中连接数据库, 拼接sql语句是使用 mysql 这个npm包, 所以在这个包中也有对应 sql注入 攻击的处理函数

可以使用 mysql.escape函数 , 对所有来源于前端的数据进行包裹一层, 这个函数会把 -- 或者其他的特殊字符进行转义,这样就不会出现在sql语句中会有注释的情况

2、xss 攻击

这个攻击我们作为前端应该是很熟悉的了

其攻击方式就是在页面的展示内中掺杂 Js 的代码以获取网页信息

在我们开发 Node 服务端的时候, 对前端传来的数据统统处理一下就行了 ,也就是进行特殊字符转义 (所有的转义字符后都需要 加上;这个特殊符号 由于无法演示 我截图的时候去掉了

Node의 세 가지 일반적인 보안 측면에 대한 간략한 분석

处理方案

开发 Node 服务端,使用 xss 这个npm包,把前端传入的数据都使用这个包裹一下就行

3、密码加密

假如我们数据库被入侵, 其中最不应该泄露的就是用的信息了

因为攻击者可以拿着用户的账户密码去尝试登录其他的系统

处理方式

这个就需要在数据库不用明文存储用户的密码信息, 在存入数据库之前把密码通过自定义 key 加密一下, 프로그래밍 교육

]

rrreee

위 코드 조각을 보면 --가 sql의 주석이라는 것을 알 수 있으므로 사용자가 sql 쿼리에 입력한 사용자 이름을 동적으로 가져오면 필드가 --로 끝나면 후속 비밀번호의 조건부 확인이 제거됩니다

. 즉, 사용자가 어떤 비밀번호를 입력하더라도 사용자 이름 필드가 데이터베이스에 존재하는 한 해당 정보를 얻을 수 있습니다.

물론, 공격은 나중에 데이터베이스를 삭제하는 SQL 문을 계속해서 이어붙일 수도 있는데, 실제로는 더 위험합니다

rrreee

처리 솔루션

노드 개발시 데이터베이스 연결 및 스플라이스 sql 문은 mysql npm 패키지를 사용

하므로 이 패키지에도 sql 인젝션 공격에 대응하는 처리 함수가 있습니다 mysql.escape 함수를 사용하여 프런트 엔드 레이어의 모든 데이터를 래핑하면 이 함수는 <code>- 또는 기타 특수 문자를 이스케이프하므로 SQL 문

🎜🎜🎜2. 공격🎜🎜🎜🎜 프런트 엔드인 우리는 이 공격에 매우 익숙할 것입니다🎜🎜🎜공격 방법은 웹 페이지 정보를 얻기 위해 페이지 표시에 Js 코드를 혼합하는 것입니다🎜🎜🎜Node 서버를 개발할 때, 프론트엔드에서 전송된 데이터 그냥 모두 처리하세요. 즉, 특수 문자 이스케이프 (모든 이스케이프 문자를 추가해야 합니다. 이 특수 기호는 스크린샷을 찍을 때 시연할 수 없기 때문에 제거되었습니다. 🎜🎜Node의 세 가지 일반적인 보안 측면에 대한 간략한 분석🎜

🎜처리 계획🎜

🎜Node 서버를 개발하고, xss npm 패키지를 사용하고, 전면에서 전달되는 모든 데이터에 이 패키지를 사용하세요. end🎜🎜🎜🎜3. 비밀번호 암호화🎜🎜🎜🎜저희 데이터베이스가 해킹되면 가장 먼저 유출되어서는 안되는 것은 사용된 정보입니다🎜🎜🎜공격자가 사용자의 계정 비밀번호를 사용하여 다른 사람에게 로그인을 시도할 수 있기 때문입니다. 시스템🎜🎜

🎜처리 방법🎜

🎜이를 위해서는 사용자 비밀번호를 저장하지 않음 정보를 데이터베이스에 일반 텍스트로 저장하고 암호화해야 합니다. 데이터베이스에 저장하기 전에 사용자 정의 키가 있는 비밀번호 , 물론 이 키는 귀하가 단독으로 보관해야 하며 유출될 수 없습니다🎜🎜또는 다른 암호화 알고리즘으로 암호화될 수 있습니다🎜🎜🎜 2. 결론 🎜🎜🎜저도 최근 Node 관련 지식을 배우고 있습니다. 위 내용은 Node 서비스 개발, 세 가지 공통 보안 주의 사항🎜🎜🎜원본 주소: https://juejin.cn/post/7199329705706324027🎜🎜🎜더 보기 관련 지식이 있으면 🎜nodejs 튜토리얼🎜을 방문하세요! 🎜

위 내용은 Node의 세 가지 일반적인 보안 측면에 대한 간략한 분석의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
이 기사는 juejin.cn에서 복제됩니다. 침해가 있는 경우 admin@php.cn으로 문의하시기 바랍니다. 삭제