노드 애플리케이션에서 타이밍 공격을 사용할 때 어떤 보안 취약점이 존재합니까?-JS 튜토리얼-php.cn

집

웹 프론트엔드

JS 튜토리얼

노드 애플리케이션에서 타이밍 공격을 사용할 때 어떤 보안 취약점이 존재합니까?

亚连

Jun 02, 2018 pm 05:09 PM

node 존재하다

이 글은 원칙에 따라 노드 애플리케이션의 타이밍 공격 보안 취약점을 분석합니다. 관심 있는 친구들은 참고할 수 있습니다.

머리말

프로젝트에서 eslint 오류 잠재적인 타이밍 공격이 발생했다면 무시하지 마세요! 이것은 보안 문제입니다. 타이밍 공격입니다.
eslint 오류의 원인

먼저 eslint는 eslint-plugin-security라는 플러그인을 도입합니다. 이 플러그인은 잠재적인 보안 문제를 식별하는 데 도움이 되지만, 플러그인의 소스 코드 주소는 오탐을 유발할 수도 있습니다. 에 첨부되어 있습니다.

var keywords = &#39;((&#39; + [
  &#39;password&#39;,
  &#39;secret&#39;,
  &#39;api&#39;,
  &#39;apiKey&#39;,
  &#39;token&#39;,
  &#39;auth&#39;,
  &#39;pass&#39;,
  &#39;hash&#39;
 ].join(&#39;)|(&#39;) + &#39;))&#39;;

 var re = new RegExp(&#39;^&#39; + keywords + &#39;$&#39;, &#39;im&#39;);

 function containsKeyword (node) {
  if (node.type === &#39;Identifier&#39;) {
   if (re.test(node.name)) return true;
  }
  return
 }
 if (node.test.operator === &#39;==&#39; || node.test.operator === &#39;===&#39; || node.test.operator === &#39;!=&#39; || node.test.operator === &#39;!==&#39;) {
  // 在这里 console 出错误
 }

로그인 후 복사

우선 이 플러그인은 이번에는 연산자가 ==, ===,인지 판단해 줍니다! =,! ==둘 중 하나, 두 번째로 식별자(필드 이름)에 특수 문자열인 비밀번호, 비밀, api, apiKey, 토큰, 인증, 패스, 해시가 포함되어 있는지 확인하세요. 두 조건이 동시에 충족되면 eslint가 컴파일하고 보고합니다. 오류 잠재적인 타이밍 공격.

공격 정의

타이밍 공격: 타이밍 공격/사이드 채널 공격에 속합니다. 사이드 채널 공격은 암호화 및 복호화된 데이터, 데이터 비교 시간, 채널 외부의 정보를 이용하는 것을 말합니다. 암호문 전송 트래픽의 공격 방식은 "부업 공격"과 동일합니다.

공격 지점

먼저 js에서 두 문자열의 크기를 비교하는 원리에 대해 이야기해 보겠습니다.

문자열 길이가 0인지 판단합니다. 0이면 결과를 직접 비교할 수 있습니다. , 두 번째 단계를 입력합니다.
문자열은 문자로 구성되며 각 문자의 charCode로 비교됩니다.
두 번째 단계에서는 한 문자만 다르면 false를 반환하고 나머지 문자는 비교되지 않습니다.

단일 문자의 비교는 매우 빠르며 공격자는 측정 시간 정확도를 마이크로초 단위로 세분화하고 응답 시간의 차이를 통해 어떤 문자가 사용되지 않는지 계산할 수 있습니다. Python에서는 스크립트를 실행하면 올바른 비밀번호를 시험해 볼 수 있으며 비밀번호 크래킹의 난이도도 많이 줄어듭니다.

취약한 작성 방법

if (user.password === password) {
  return { state: true }; // 登录成功
 }

로그인 후 복사

방어 조치

입력이 다를 때마다 처리 시간이 달라집니다. 이를 방지하기 위해서는 입력된 비밀번호와 관계없이 문자열 비교에 동일한 시간이 걸리도록 해야 합니다.
공격에 취약하지 않은 글쓰기

시스템의 각 비밀번호 길이는 정해져 있습니다. 비밀번호가 동일한지 비교할 때마다 올바른 비밀번호의 길이를 비교 횟수로 삼아 사용하세요. XOR은 각 문자의 유니코드 인코딩이 동일한지 비교하고 각 비교 결과를 배열에 저장하고 마지막으로 배열의 각 요소가 0인지 확인합니다(0은 두 문자가 동일함을 의미함).

 // psdReceived 为用户输入密码；
 // psdDb 为系统中存储的正确用户密码
 const correctUser = (psdDb, psdReceived) => {
  const state = [];
  for (let i = 0; i < psdDb.length; ++i) {
   if (!psdReceived[i]) {
    state.push(false);
   } else {
    state.push(psdReceived.charCodeAt(i) ^ psdDb.charCodeAt(i));
   }
  }
  return state.length !== 0 && state.every(item => !item);
 }

로그인 후 복사

3자 패키지 권장 사항

npm 모듈 cryptiles를 사용하여 이 문제를 해결할 수도 있습니다.

import cryptiles from &#39;cryptiles&#39;;

......
return cryptiles.fixedTimeCimparison(passwordFromDb, passwordReceived);

로그인 후 복사

위 내용은 제가 모든 사람을 위해 정리한 내용입니다. 앞으로 모든 사람에게 도움이 되기를 바랍니다.

NodeJS 상위 프로세스와 하위 프로세스 리소스 공유 원리 및 구현 방법

vue에서 이미지 및 파일 업로드를 구현하는 샘플 코드

vue axios 양식 이미지 업로드 예시

위 내용은 노드 애플리케이션에서 타이밍 공격을 사용할 때 어떤 보안 취약점이 존재합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

본 웹사이트의 성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

핫 AI 도구

뜨거운 도구

뜨거운 주제

Gmail 이메일의 로그인 입구는 어디에 있나요?

7478

Cakephp 튜토리얼

1377

Steam의 계정 이름 형식은 무엇입니까?

Win11 활성화 키 영구

NYT 연결 힌트와 답변

Related knowledge

nvm에서 노드를 삭제하는 방법 Dec 29, 2022 am 10:07 AM

nvm을 사용하여 노드를 삭제하는 방법: 1. "nvm-setup.zip"을 다운로드하여 C 드라이브에 설치합니다. 2. "nvm -v" 명령을 통해 환경 변수를 구성하고 버전 번호를 확인합니다. install" 명령 노드 설치; 4. "nvm uninstall" 명령을 통해 설치된 노드를 삭제합니다.

Express를 사용하여 노드 프로젝트에서 파일 업로드를 처리하는 방법 Mar 28, 2023 pm 07:28 PM

파일 업로드를 처리하는 방법은 무엇입니까? 다음 글에서는 Express를 사용하여 노드 프로젝트에서 파일 업로드를 처리하는 방법을 소개하겠습니다. 도움이 되길 바랍니다.

Node 서비스의 Docker 미러링을 수행하는 방법은 무엇입니까? 극한 최적화에 대한 자세한 설명 Oct 19, 2022 pm 07:38 PM

이 기간 동안 저는 Tencent 문서의 모든 카테고리에 공통되는 HTML 동적 서비스를 개발 중입니다. 다양한 카테고리에 대한 액세스 생성 및 배포를 촉진하고 클라우드로 이동하는 추세에 부응하기 위해. Docker를 사용하여 서비스 콘텐츠를 수정하고 제품 버전을 균일하게 관리합니다. 이 글에서는 제가 Docker를 서비스하면서 쌓은 최적화 경험을 여러분의 참고용으로 공유하겠습니다.

Node의 프로세스 관리 도구 'pm2”에 대한 심층 분석 Apr 03, 2023 pm 06:02 PM

이 기사에서는 Node의 프로세스 관리 도구인 "pm2"를 공유하고 pm2가 필요한 이유, pm2 설치 및 사용 방법에 대해 설명합니다. 모두에게 도움이 되기를 바랍니다!

PI 노드 교육 : PI 노드 란 무엇입니까? Pi 노드를 설치하고 설정하는 방법은 무엇입니까? Mar 05, 2025 pm 05:57 PM

Pinetwork 노드에 대한 자세한 설명 및 설치 안내서이 기사에서는 Pinetwork Ecosystem을 자세히 소개합니다. Pi 노드, Pinetwork 생태계의 주요 역할을 수행하고 설치 및 구성을위한 전체 단계를 제공합니다. Pinetwork 블록 체인 테스트 네트워크가 출시 된 후, PI 노드는 다가오는 주요 네트워크 릴리스를 준비하여 테스트에 적극적으로 참여하는 많은 개척자들의 중요한 부분이되었습니다. 아직 Pinetwork를 모른다면 Picoin이 무엇인지 참조하십시오. 리스팅 가격은 얼마입니까? PI 사용, 광업 및 보안 분석. Pinetwork 란 무엇입니까? Pinetwork 프로젝트는 2019 년에 시작되었으며 독점적 인 Cryptocurrency Pi Coin을 소유하고 있습니다. 이 프로젝트는 모든 사람이 참여할 수있는 사람을 만드는 것을 목표로합니다.

pkg를 사용하여 Node.js 프로젝트를 실행 파일로 패키징하는 방법에 대해 이야기해 보겠습니다. Dec 02, 2022 pm 09:06 PM

nodejs 실행 파일을 pkg로 패키징하는 방법은 무엇입니까? 다음 기사에서는 pkg를 사용하여 Node 프로젝트를 실행 파일로 패키징하는 방법을 소개합니다. 도움이 되기를 바랍니다.

npm node gyp가 실패하는 경우 수행할 작업 Dec 29, 2022 pm 02:42 PM

"node-gyp.js"와 "Node.js"의 버전이 일치하지 않아 npm node gyp가 실패했습니다. 해결 방법: 1. "npm 캐시 clean -f"를 통해 노드 캐시를 지웁니다. 2. "npm install - g n" n 모듈을 설치합니다. 3. "n v12.21.0" 명령을 통해 "node v12.21.0" 버전을 설치합니다.