保護您的 Node.js 應用程式：綜合指南

在當今的數位環境中，保護 Node.js 應用程式的安全至關重要。從 Netflix 和 Uber 等全球領導者，到建立下一個偉大事物的新創公司，Node.js 為一些要求最苛刻的高效能應用程式提供支援。然而，應用程式中的漏洞可能會導致未經授權的存取、資料外洩和用戶信任的喪失。

本指南將實用的安全實踐與 OWASP Web 安全測試指南 (WSTG) 中的關鍵概念相結合，幫助您強化 Node.js 應用程式。無論您是管理即時操作還是擴展到數百萬用戶，這項全面的資源都將確保您的應用程式保持安全、可靠和彈性。

---

資訊收集（WSTG-INFO）

資訊收集通常是攻擊者了解有關您的應用程式的更多資訊的第一步。他們收集的資訊越多，就越容易識別和利用漏洞。

典型 Express.js 伺服器設定與指紋辨識

預設情況下，Express.js 包含可能會無意中洩露有關您的伺服器的資訊的設定。一個常見的例子是 X-Powered-By HTTP 標頭，它表明您的應用程式正在使用 Express。

易受攻擊的程式碼範例：

const express = require('express');
const app = express();

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

在此設定中，每個 HTTP 回應都包含 X-Powered-By: Express 標頭。

問題：

• 指紋辨識：攻擊者可以使用此標頭來確定您正在使用的技術。了解您正在執行 Express 後，他們可以針對特定版本的 Express 或 Node.js 中的已知漏洞自訂攻擊。

緩解措施：

停用此標頭以使攻擊者更難識別您的伺服器。

改進的程式碼：

const express = require('express');
const app = express();

// Disable the X-Powered-By header
app.disable('x-powered-by');

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

配戴安全帽增強緩解效果：

更好的方法是使用頭盔中間件，它設定各種 HTTP 標頭來提高應用程式的安全性。

const express = require('express');
const helmet = require('helmet');
const app = express();

// Use Helmet to secure headers
app.use(helmet());

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

為什麼要戴頭盔？

• 全面的安全標頭： Helmet 設定多個 HTTP 標頭，有助於保護您的應用程式免受眾所周知的 Web 漏洞的影響。
• 易於使用：只需一行程式碼，即可顯著增強應用程式的安全狀況。

---

配置和部署管理測試 (WSTG-CONF)

設定和部署管理是應用程式安全的關鍵面向。錯誤配置可能為攻擊者敞開大門。

在生產中以開發模式運作

在生產伺服器上以開發模式運行應用程式可能會暴露詳細的錯誤訊息和堆疊追蹤。

易受攻擊的程式碼範例：

const express = require('express');
const app = express();

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

在此設定中，詳細的錯誤訊息將發送至客戶端。

問題：

• 資訊外洩：詳細的錯誤訊息和堆疊追蹤可以洩露有關應用程式結構、依賴項和檔案路徑的敏感資訊。
• 促進利用：攻擊者可以使用此資訊來識別潛在的漏洞並發動有針對性的攻擊。

緩解措施：

將 NODE_ENV 設定為「生產」並在生產中使用通用錯誤訊息。

改進的程式碼：

const express = require('express');
const app = express();

// Disable the X-Powered-By header
app.disable('x-powered-by');

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

最佳實務：

• 正確設定環境變數：確保生產環境中的 NODE_ENV 設定為「生產」。
• 內部日誌記錄：內部記錄錯誤以用於偵錯目的，而不會向最終使用者公開詳細資料。

---

使用預設或弱憑證

使用預設或弱憑證，例如用於簽署 JSON Web 令牌 (JWT) 的簡單金鑰，是一種常見的安全錯誤。

易受攻擊的程式碼範例：

const express = require('express');
const helmet = require('helmet');
const app = express();

// Use Helmet to secure headers
app.use(helmet());

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

問題：

• 弱密鑰：使用簡單或常見的字串（如“secret”）使攻擊者很容易猜測或暴力破解密鑰。
• 硬編碼秘密：如果您的程式碼庫遭到破壞，直接在程式碼中儲存秘密會增加暴露的風險。
• 令牌偽造：知道您金鑰的攻擊者可以偽造有效的 JWT，從而獲得未經授權的存取。

緩解措施：

使用強大、安全的金鑰並安全儲存。

改進的程式碼：

// app.js
const express = require('express');
const app = express();

// Error handling middleware
app.use((err, req, res, next) => {
  res.status(500).send(err.stack); // Sends stack trace to the client
});

// Your routes here

app.listen(3000);

最佳實務：

• 環境變數： 不要將機密提交給版本控制。使用未簽入原始程式碼管理的環境變數或設定檔。
• 輪替秘密：實施定期輪替秘密的流程。
• 驗證配置：確保在應用程式啟動期間設定所有必需的環境變數。

---

身分識別管理測試 (WSTG-IDNT)

身分管理對於保護使用者帳戶和防止未經授權的存取至關重要。

薄弱的使用者名稱策略和帳號枚舉

允許弱用戶名並提供特定的錯誤訊息可能會導致帳戶枚舉攻擊。

易受攻擊的程式碼範例：

const express = require('express');
const app = express();

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

問題：

• 弱用戶名：允許簡短的使用者名稱會增加帳戶外洩的風險。
• 帳號列舉：特定的錯誤訊息可以幫助攻擊者確定有效的使用者名稱。

緩解措施：

實作使用者名稱驗證並使用通用錯誤訊息。

改進的程式碼：

const express = require('express');
const app = express();

// Disable the X-Powered-By header
app.disable('x-powered-by');

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

說明：

• 使用者名稱驗證：確保使用者名稱符合特定標準，並減少弱條目。
• 通用錯誤訊息：防止攻擊者透過錯誤回應識別有效使用者名稱。

---

身份驗證測試 (WSTG-ATHN)

驗證機制對於驗證使用者身分和防止未經授權的存取至關重要。

對密碼和 2FA 的暴力攻擊

缺乏保護，攻擊者可以透過反覆嘗試猜測密碼或 2FA 代碼。

易受攻擊的程式碼範例：

const express = require('express');
const helmet = require('helmet');
const app = express();

// Use Helmet to secure headers
app.use(helmet());

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

問題：

• 無限制的登入嘗試：攻擊者可以重複嘗試不同的密碼或 2FA 代碼。
• 薄弱的 2FA 實作：靜態或可預測的 2FA 程式碼容易受到攻擊。

緩解措施：

實施速率限制並增強 2FA 安全性。

改進的程式碼：

// app.js
const express = require('express');
const app = express();

// Error handling middleware
app.use((err, req, res, next) => {
  res.status(500).send(err.stack); // Sends stack trace to the client
});

// Your routes here

app.listen(3000);

額外措施：

• 嘗試失敗後使用驗證碼：在多次登入嘗試失敗後引入驗證碼來驗證人類使用者。
• 採用 TOTP 進行 2FA： 使用基於時間的一次性密碼來實現動態且安全的 2FA 代碼。

說明：

• 速率限制：透過限制登入嘗試來降低自動攻擊風險。
• 增強的 2FA： 基於時間的程式碼比靜態程式碼提高了安全性。

---

授權測試（WSTG-ATHZ）

授權確保使用者僅存取他們有權使用的資源，防止未經授權的操作。

不安全的直接物件參考 (IDOR)

使用者可以透過操縱請求中的識別碼來存取未經授權的資源。

易受攻擊的程式碼範例：

// app.js
const express = require('express');
const app = express();

// Your routes here

// Error handling middleware
if (app.get('env') === 'production') {
  // Production error handler
  app.use((err, req, res, next) => {
    // Log the error internally
    console.error(err);
    res.status(500).send('An unexpected error occurred.');
  });
} else {
  // Development error handler (with stack trace)
  app.use((err, req, res, next) => {
    res.status(500).send(`<pre class="brush:php;toolbar:false">${err.stack}

`); }); } app.listen(3000);

問題：

• 未授權存取：使用者可以透過修改orderId參數來存取不該存取的資料。

緩解措施：

在提供存取權限之前驗證資源所有權。

改進的程式碼：

const express = require('express');
const app = express();

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

說明：

• 所有權驗證： 確保要求的資源屬於經過驗證的使用者。
• 存取控制：防止使用者透過操縱請求參數來存取他人的資料。

---

會話管理測驗 (WSTG-SESS)

會話管理對於維護使用者狀態和確保安全互動至關重要。

沒有過期時間的代幣

永不過期的令牌如果被洩漏就會帶來安全風險。

易受攻擊的程式碼範例：

const express = require('express');
const app = express();

// Disable the X-Powered-By header
app.disable('x-powered-by');

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

問題：

• 持久令牌：沒有過期的令牌無限期地保持有效，增加了濫用的機會。

緩解措施：

設定令牌的過期時間。

改進的程式碼：

const express = require('express');
const helmet = require('helmet');
const app = express();

// Use Helmet to secure headers
app.use(helmet());

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

說明：

• 令牌過期：限制有效期，降低令牌外洩的風險。
• 安全最佳實務：定期令牌更新可增強整體安全性。

---

不安全的令牌存放

將令牌儲存在 localStorage 中會使它們遭受跨站腳本 (XSS) 攻擊。

易受攻擊的程式碼範例：

// app.js
const express = require('express');
const app = express();

// Error handling middleware
app.use((err, req, res, next) => {
  res.status(500).send(err.stack); // Sends stack trace to the client
});

// Your routes here

app.listen(3000);

問題：

• 客戶端暴露：惡意腳本可以存取 localStorage、竊取令牌和劫持會話。

緩解措施：

使用僅 HTTP 的 cookie 來安全地儲存令牌。

改進的程式碼：

// app.js
const express = require('express');
const app = express();

// Your routes here

// Error handling middleware
if (app.get('env') === 'production') {
  // Production error handler
  app.use((err, req, res, next) => {
    // Log the error internally
    console.error(err);
    res.status(500).send('An unexpected error occurred.');
  });
} else {
  // Development error handler (with stack trace)
  app.use((err, req, res, next) => {
    res.status(500).send(`<pre class="brush:php;toolbar:false">${err.stack}

`); }); } app.listen(3000);

說明：

• 僅限 HTTP 的 Cookie： JavaScript 無法訪問，從而降低 XSS 風險。
• 安全和 SameSite 標誌： 增強對中間人和跨站點請求偽造攻擊的防護。

---

輸入驗證測試 (WSTG-INPV)

輸入驗證確保使用者提供的資料安全且符合預期，防止注入攻擊。

缺乏輸入驗證

未經驗證而接受和處理使用者輸入可能會導致漏洞。

易受攻擊的程式碼範例：

const express = require('express');
const jwt = require('jsonwebtoken');
const app = express();

// Weak secret key
const SECRET_KEY = 'secret';

app.post('/login', (req, res) => {
  // Authenticate user (authentication logic not shown)
  const userId = req.body.userId;

  // Sign the JWT with a weak secret
  const token = jwt.sign({ userId }, SECRET_KEY);
  res.json({ token });
});

app.get('/protected', (req, res) => {
  const token = req.headers['authorization'];

  try {
    // Verify the token using the weak secret
    const decoded = jwt.verify(token, SECRET_KEY);
    res.send('Access granted to protected data');
  } catch (err) {
    res.status(401).send('Unauthorized');
  }
});

app.listen(3000, () => {
  console.log('Server started on port 3000');
});

問題：

• 注入攻擊：未經驗證的輸入可能導致 SQL 注入、NoSQL 注入或其他程式碼注入攻擊。

緩解措施：

驗證並清理所有使用者輸入。

改進的程式碼：

const express = require('express');
const app = express();

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

說明：

• 輸入驗證： 檢查輸入是否符合預期標準。
• 輸入清理： 刪除或轉義潛在有害字元。
• 安全資料庫查詢：使用參數化查詢可以防止注入攻擊。

---

錯誤處理測試 (WSTG-ERRH)

正確的錯誤處理可以避免洩漏敏感資訊並改善使用者體驗。

暴露敏感錯誤訊息

詳細的錯誤訊息可以向攻擊者揭示系統內部結構。

易受攻擊的程式碼範例：

const express = require('express');
const app = express();

// Disable the X-Powered-By header
app.disable('x-powered-by');

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

問題：

• 資訊外洩：攻擊者可以深入了解您的應用程式的結構和潛在漏洞。

緩解措施：

使用通用錯誤訊息並在內部記錄詳細錯誤。

改進的程式碼：

const express = require('express');
const helmet = require('helmet');
const app = express();

// Use Helmet to secure headers
app.use(helmet());

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

說明：

• 內部日誌記錄： 確保詳細錯誤訊息的安全。
• 使用者友善的訊息：提供通用訊息，而不洩漏敏感細節。

---

弱加密測試 (WSTG-CRYP)

密碼學保護敏感資料；使用弱加密實踐會破壞安全性。

使用不安全的雜湊演算法

使用過時的演算法對密碼進行雜湊處理是不安全的。

易受攻擊的程式碼範例：

// app.js
const express = require('express');
const app = express();

// Error handling middleware
app.use((err, req, res, next) => {
  res.status(500).send(err.stack); // Sends stack trace to the client
});

// Your routes here

app.listen(3000);

問題：

• 弱雜湊： MD5 和 SHA-1 等演算法容易受到碰撞攻擊，不應該用於密碼雜湊。

緩解措施：

使用專為密碼設計的強大雜湊演算法。

改進的程式碼：

// app.js
const express = require('express');
const app = express();

// Your routes here

// Error handling middleware
if (app.get('env') === 'production') {
  // Production error handler
  app.use((err, req, res, next) => {
    // Log the error internally
    console.error(err);
    res.status(500).send('An unexpected error occurred.');
  });
} else {
  // Development error handler (with stack trace)
  app.use((err, req, res, next) => {
    res.status(500).send(`<pre class="brush:php;toolbar:false">${err.stack}

`); }); } app.listen(3000);

說明：

• Bcrypt： 一個強大的雜湊函數，結合了加鹽和多輪雜湊。
• 密碼安全： 使攻擊者在計算上無法對密碼進行逆向工程。

---

硬編碼密鑰

直接在程式碼中儲存秘密會增加暴露的風險。

易受攻擊的程式碼範例：

const express = require('express');
const jwt = require('jsonwebtoken');
const app = express();

// Weak secret key
const SECRET_KEY = 'secret';

app.post('/login', (req, res) => {
  // Authenticate user (authentication logic not shown)
  const userId = req.body.userId;

  // Sign the JWT with a weak secret
  const token = jwt.sign({ userId }, SECRET_KEY);
  res.json({ token });
});

app.get('/protected', (req, res) => {
  const token = req.headers['authorization'];

  try {
    // Verify the token using the weak secret
    const decoded = jwt.verify(token, SECRET_KEY);
    res.send('Access granted to protected data');
  } catch (err) {
    res.status(401).send('Unauthorized');
  }
});

app.listen(3000, () => {
  console.log('Server started on port 3000');
});

問題：

• 秘密曝光：如果程式碼庫遭到破壞，可以輕鬆擷取硬編碼的秘密。

緩解措施：

將機密儲存在環境變數或安全性設定檔中。

改進的程式碼：

const express = require('express');
const app = express();

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

說明：

• 環境變數：對程式碼庫和版本控制系統保密。
• 安全實務：降低意外暴露的風險。

---

業務邏輯測試 (WSTG-BUSL)

商業邏輯當應用程式流被以意想不到的方式操縱時，就會出現漏洞。

濫用批次操作

不受限制的資料操作可能會導致效能問題或資料外洩。

易受攻擊的程式碼範例：

const express = require('express');
const app = express();

// Disable the X-Powered-By header
app.disable('x-powered-by');

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

問題：

• 拒絕服務 (DoS)： 大量資料匯出會耗盡伺服器資源。
• 資料外洩：不受限制的存取可能會洩漏敏感資訊。

緩解措施：

實施分頁和存取控制。

改進的程式碼：

const express = require('express');
const helmet = require('helmet');
const app = express();

// Use Helmet to secure headers
app.use(helmet());

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

說明：

• 分頁：控制回傳的資料量，防止資源耗盡。
• 存取控制：確保使用者只能存取自己的資料。

---

客戶端測試 (WSTG-CLNT)

防範客戶端漏洞對於保護使用者免受跨站腳本 (XSS) 等攻擊至關重要。

使用 xss 函式庫轉義使用者輸入

客戶端腳本中對使用者輸入的不當處理可能會導致 XSS 攻擊。

易受攻擊的程式碼範例：

// app.js
const express = require('express');
const app = express();

// Error handling middleware
app.use((err, req, res, next) => {
  res.status(500).send(err.stack); // Sends stack trace to the client
});

// Your routes here

app.listen(3000);

問題：

• 不安全的 DOM 操作： 將未經淨化的使用者輸入插入 innerHTML 會允許執行惡意腳本。

緩解措施：

使用 xss 函式庫在渲染之前清理使用者輸入。

改進的程式碼：

// app.js
const express = require('express');
const app = express();

// Your routes here

// Error handling middleware
if (app.get('env') === 'production') {
  // Production error handler
  app.use((err, req, res, next) => {
    // Log the error internally
    console.error(err);
    res.status(500).send('An unexpected error occurred.');
  });
} else {
  // Development error handler (with stack trace)
  app.use((err, req, res, next) => {
    res.status(500).send(`<pre class="brush:php;toolbar:false">${err.stack}

`); }); } app.listen(3000);

說明：

• 輸入清理： xss 庫透過轉義或刪除潛在危險內容來清理輸入。
• 防止腳本執行：中和惡意腳本，防止它們在瀏覽器中執行。

最佳實務：

• 盡可能使用textContent：將使用者輸入分配給textContent會將其視為純文字。

const express = require('express');
const app = express();

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

• 結合客戶端和伺服器端驗證：深度防禦方法可增強安全性。

---

API 測試 (WSTG-APIT)

保護 API 端點的安全性對於防止資料外洩和未經授權的存取至關重要。

GraphQL 自省曝光

在生產環境中啟用 GraphQL 自省會暴露您的 API 模式。

易受攻擊的程式碼範例：

const express = require('express');
const app = express();

// Disable the X-Powered-By header
app.disable('x-powered-by');

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

問題：

• 架構外洩：攻擊者可以探索您的 API 架構，協助發動有針對性的攻擊。

緩解措施：

在生產環境中停用自省。

改進的程式碼：

const express = require('express');
const helmet = require('helmet');
const app = express();

// Use Helmet to secure headers
app.use(helmet());

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

說明：

• 條件自省： 允許在開發過程中自省，但在生產中禁用它。
• 安全增強：透過隱藏架構詳細資訊來減少攻擊面。

---

不受限制的查詢複雜性

深度巢狀或複雜的查詢會耗盡伺服器資源。

易受攻擊的程式碼範例：

// app.js
const express = require('express');
const app = express();

// Error handling middleware
app.use((err, req, res, next) => {
  res.status(500).send(err.stack); // Sends stack trace to the client
});

// Your routes here

app.listen(3000);

問題：

• 拒絕服務 (DoS)： 複雜的查詢可能會導致 CPU 和記憶體使用率較高。

緩解措施：

限制查詢深度和複雜性。

改進的程式碼：

// app.js
const express = require('express');
const app = express();

// Your routes here

// Error handling middleware
if (app.get('env') === 'production') {
  // Production error handler
  app.use((err, req, res, next) => {
    // Log the error internally
    console.error(err);
    res.status(500).send('An unexpected error occurred.');
  });
} else {
  // Development error handler (with stack trace)
  app.use((err, req, res, next) => {
    res.status(500).send(`<pre class="brush:php;toolbar:false">${err.stack}

`); }); } app.listen(3000);

說明：

• 深度限制：限制查詢的深度，防止資源耗盡。
• 效能保護： 確保 API 保持回應和可用。

---

結論

保護 Node.js 應用程式涉及多層方法：

• 防止資訊外洩：清理程式碼和伺服器配置以避免暴露敏感資料。
• 安全地管理設定：刪除預設憑證和安全性設定檔。
• 驗證與清理輸入：永遠不要相信使用者輸入。
• 實施適當的身份驗證和授權：確保使用者擁有適當的存取權限。
• 使用強加密技術：使用安全演算法和金鑰管理來保護資料。
• 優雅地處理錯誤：避免洩漏敏感資訊。
• 保護客戶端互動：減輕 XSS 和其他基於瀏覽器的攻擊。
• 安全 API： 控制資料暴露並實作速率限制。

透過整合這些實踐，您可以增強應用程式的安全性、保護使用者資料並維護信任。

---

進一步閱讀

• OWASP 網路安全測試指南 (WSTG)： OWASP WSTG
• Node.js 安全指南： Node.js 安全
• Express.js 安全提示： Express 安全最佳實踐
• GraphQL 安全最佳實務： Apollo GraphQL 安全
• OWASP 前十名：OWASP 前十名
• MDN Web 文件 - 網路安全： MDN Web 安全

---

注意：本指南提供一般建議。對於特定的安全問題，請諮詢專業人士。

以上是保護您的 Node.js 應用程式：綜合指南的詳細內容。更多資訊請關注PHP中文網其他相關文章！