使用node應用程式中timing-attack存在哪些安全漏洞-js教程-PHP中文網

首頁

web前端

js教程

使用node應用程式中timing-attack存在哪些安全漏洞

亚连

Jun 02, 2018 pm 05:09 PM

node存在

這篇文章給大家通過原理的原因分析了node應用的timing-attack安全漏洞問題，有興趣的朋友閱讀參考下。

前言

假如你在專案中遇過 eslint 報錯 Potential timing attack ，不可忽視！這是一個涉及安全的問題：時序攻擊。
eslint 報錯原因

首先eslint引入了一個叫做eslint-plugin-security的插件，這個插件有助於識別出潛在的安全問題，但同時也會產生誤報的問題，附上插件源碼位址。

var keywords = &#39;((&#39; + [
  &#39;password&#39;,
  &#39;secret&#39;,
  &#39;api&#39;,
  &#39;apiKey&#39;,
  &#39;token&#39;,
  &#39;auth&#39;,
  &#39;pass&#39;,
  &#39;hash&#39;
 ].join(&#39;)|(&#39;) + &#39;))&#39;;

 var re = new RegExp(&#39;^&#39; + keywords + &#39;$&#39;, &#39;im&#39;);

 function containsKeyword (node) {
  if (node.type === &#39;Identifier&#39;) {
   if (re.test(node.name)) return true;
  }
  return
 }
 if (node.test.operator === &#39;==&#39; || node.test.operator === &#39;===&#39; || node.test.operator === &#39;!=&#39; || node.test.operator === &#39;!==&#39;) {
  // 在这里 console 出错误
 }

首先這個外掛程式會判斷本次的運算子是否為 ==、===、！ =、！ ==其中一種，其次檢查標識符（字段名）是否包含特殊字串password、secret、api、apiKey、token、auth、pass、hash，如果同時滿足二者情況，eslint 就會編譯報錯Potential timing attack 。

攻擊定義

timing attack：時序攻擊，屬於側通道攻擊/ 旁路攻擊，側通道攻擊指的是利用通道外的信息，例如加解密的資料、資料比較時間、密文傳輸的流量和途徑進行攻擊的方式，相當於是「旁敲側擊」。

攻擊點

先講講js比較兩個字串大小的原理：

判斷字串長度是否為0，如果為0，就可以直接比較出結果；反之，進入到第二步。
字串是由一個字元組成，透過每個字元的charCode進行比較。
在第二步驟中，只要出現一個字元不同，就 return false，剩餘的字元就不再做比較。

單一字元的比較是很快的，攻擊者可以細化測量時間精度到微秒，透過回應時間的差異推導出是從哪一個字元開始不用的，這樣一次次實驗或用Python 寫個腳本去跑，就可以試出正確的密碼，密碼破解的難度也降低了不少。

容易受攻擊的寫法

if (user.password === password) {
  return { state: true }; // 登录成功
 }

#防禦措施

每次不同的輸入都會造成處理時間的差異。為了防止它，我們需要使字串比較花費相同的時間量，無論輸入的密碼是什麼。
不容易受攻擊的寫法

系統中每一個密碼的長度是固定的，每次比較密碼是否相同時，使用正確密碼的長度作為比較次數，使用異或比較每一個字符的Unicode 編碼是否相等，並且把每一次的比較結果存放到一個數組中，最後再判斷數組的每一個元素是否為0（為0 表示兩個字元相同）。

 // psdReceived 为用户输入密码；
 // psdDb 为系统中存储的正确用户密码
 const correctUser = (psdDb, psdReceived) => {
  const state = [];
  for (let i = 0; i < psdDb.length; ++i) {
   if (!psdReceived[i]) {
    state.push(false);
   } else {
    state.push(psdReceived.charCodeAt(i) ^ psdDb.charCodeAt(i));
   }
  }
  return state.length !== 0 && state.every(item => !item);
 }

三方包推薦

也可以使用 cryptiles 這個 npm 模組來解決這個問題

import cryptiles from &#39;cryptiles&#39;;

......
return cryptiles.fixedTimeCimparison(passwordFromDb, passwordReceived);

上面是我整理給大家的，希望今後會對大家有幫助。

NodeJS父進程與子進程資源共享原則與實作方法

vue中實作圖片與檔案上傳的範例程式碼

vue axios 表單提交上傳圖片的實例

以上是使用node應用程式中timing-attack存在哪些安全漏洞的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

Python vs. JavaScript：社區，圖書館和資源Apr 15, 2025 am 12:16 AM

Python和JavaScript在社區、庫和資源方面的對比各有優劣。 1)Python社區友好，適合初學者，但前端開發資源不如JavaScript豐富。 2)Python在數據科學和機器學習庫方面強大，JavaScript則在前端開發庫和框架上更勝一籌。 3)兩者的學習資源都豐富，但Python適合從官方文檔開始，JavaScript則以MDNWebDocs為佳。選擇應基於項目需求和個人興趣。

從C/C到JavaScript：所有工作方式Apr 14, 2025 am 12:05 AM

從C/C 轉向JavaScript需要適應動態類型、垃圾回收和異步編程等特點。 1）C/C 是靜態類型語言，需手動管理內存，而JavaScript是動態類型，垃圾回收自動處理。 2）C/C 需編譯成機器碼，JavaScript則為解釋型語言。 3）JavaScript引入閉包、原型鍊和Promise等概念，增強了靈活性和異步編程能力。

JavaScript引擎：比較實施Apr 13, 2025 am 12:05 AM

不同JavaScript引擎在解析和執行JavaScript代碼時，效果會有所不同，因為每個引擎的實現原理和優化策略各有差異。 1.詞法分析：將源碼轉換為詞法單元。 2.語法分析：生成抽象語法樹。 3.優化和編譯：通過JIT編譯器生成機器碼。 4.執行：運行機器碼。 V8引擎通過即時編譯和隱藏類優化，SpiderMonkey使用類型推斷系統，導致在相同代碼上的性能表現不同。

超越瀏覽器：現實世界中的JavaScriptApr 12, 2025 am 12:06 AM

JavaScript在現實世界中的應用包括服務器端編程、移動應用開發和物聯網控制：1.通過Node.js實現服務器端編程，適用於高並發請求處理。 2.通過ReactNative進行移動應用開發，支持跨平台部署。 3.通過Johnny-Five庫用於物聯網設備控制，適用於硬件交互。

使用Next.js（後端集成）構建多租戶SaaS應用程序Apr 11, 2025 am 08:23 AM

我使用您的日常技術工具構建了功能性的多租戶SaaS應用程序（一個Edtech應用程序），您可以做同樣的事情。首先，什麼是多租戶SaaS應用程序？多租戶SaaS應用程序可讓您從唱歌中為多個客戶提供服務

如何使用Next.js（前端集成）構建多租戶SaaS應用程序Apr 11, 2025 am 08:22 AM

本文展示了與許可證確保的後端的前端集成，並使用Next.js構建功能性Edtech SaaS應用程序。前端獲取用戶權限以控制UI的可見性並確保API要求遵守角色庫

JavaScript：探索網絡語言的多功能性Apr 11, 2025 am 12:01 AM

JavaScript是現代Web開發的核心語言，因其多樣性和靈活性而廣泛應用。 1)前端開發：通過DOM操作和現代框架（如React、Vue.js、Angular）構建動態網頁和單頁面應用。 2)服務器端開發：Node.js利用非阻塞I/O模型處理高並發和實時應用。 3)移動和桌面應用開發：通過ReactNative和Electron實現跨平台開發，提高開發效率。