文档章节

Node.js中的不安全跳转如何防御详解

开元中国2015
 开元中国2015
发布于 2018/10/23 09:34
字数 1767
阅读 21
收藏 0

Node.js中的不安全跳转如何防御详解

导语:

早年在浏览器大战期间,有远见的Chrome认为要运行现代Web应用,浏览器必须有一个性能非常强劲的Java引擎,于是Google自己开发了一个高性能的开源的Java引擎,名字叫V8。在2009年,Ryan正式推出了基于Java语言和V8引擎的开源Web服务器项目,命名为Node.js。

对于任何web开发人员来说,不安全或未经验证的重定向都是重要的安全考虑因素。Express为重定向提供了本地支持,使它们易于实现和使用。Express是一种保持最低程度规模的灵活Node.js Web应用程序框架,为Web和移动应用程序提供一组强大的

什么是不安全的重定向?

对于任何web开发人员来说,不安全或未经验证的重定向都是重要的安全考虑因素。Express为重定向提供了本地支持,使它们易于实现和使用。然而,Express将执行输入验证的工作留给了开发人员。Express是一种保持最低程度规模的灵活Node.js Web应用程序框架,为Web和移动应用程序提供一组强大的功能。

下面是OWASP.org网站给出的“未经验证的重定向和转发”的定义:

如果web应用程序接受不可信的输入,可能导致web应用程序将请求重定向到不可信输入中包含的URL,则可以进行未经验证的重定向和转发。

重定向通常在登录和身份验证过程中使用,因此可以在登录之前将用户重定向到他们所在的页面。但根据业务需求或应用程序类型而有所不同,也存在其他重定向情况。

为什么要避免重定向?

不验证用户输入的重定向,可以使攻击者具备发起网络钓鱼诈骗的条件,从而窃取用户凭据并执行其他恶意操作。

注意:当在Node.js或Express中实现重定向时,在服务器端执行输入验证很重要。

如果攻击者发现用户没有验证外部用户提供的输入,他们可能会利用这个漏洞在论坛、社交媒体和其他公共场所发布专门设计的链接,让用户点击它。

从表面上看,这些URL看起来合法且对用户来说并无威胁,这是因为所有这些要重定向的URL都包含目标的主机名:

https://example.com/login?url=http://examp1e.com/bad/things

但是,如果服务器端重定向逻辑未验证输入url参数的数据,则用户可能最终会访问黑客所提前设置的网站(examp1e.com),满足攻击的需求!以上只是攻击者如何利用不安全重定向逻辑的一个例子。

不安全重定向例子并将其直接传递到Express res.redirect()方法中。因此,只要用户通过身份验证,Express就会将用户重定向到输入或提供的URL。

var express = require('express');
var port = process.env.PORT || 3000;
var app = express();
app.get('/login', function (req, res, next) {
if(req.session.isAuthenticated()) {
res.redirect(req.query.url);
}
});
app.get('/account', function (req, res, next) {
res.send('Account page');
});
app.get('/profile', function (req, res, next) {
res.send('Profile page');
});
app.listen(port, function() {
console.log('Server listening on port ' + port);
});

输入验证有助于防止不安全的重定向

通常,最好避免在代码中使用重定向和转发。如果你一定需要在代码中使用重定向,则首选的方法是使用映射到特定目标的预定义输入,这被称为白名单方法。以下就是实现这种方法的一个具体样本步骤:

1.baseHostname会确保任何重定向都将用户保留在研究人员的主机上;

2.redirectMapping是一个对象,它将预定义的输入(例如,传递给url paramer的内容)映射到服务器上的特定路径;

3.validateRedirect()方法会判断预定义的输入是否存在,如果它们存在,则返回要重定向的适当路径;

4.研究人员修改了/login逻辑,然后将baseHostname+redirectPath变量连接在一起,这就避免了任何用户提供的输入内容直接传递到Express res.redirect()方法中;

5.最后,研究人员使用encodeURI()方法作为额外的安全保证,确保连接字符串的URI部分被正确编码,以允许干净的重定向。

//Configure your whitelist
var baseHostname = "https://example.com";
var redirectMapping = {
'account': '/account',
'profile': '/profile'
}
//Create a function to validate whitelist
function validateRedirect(key) {
if(key in redirectMapping) {
return redirectMapping[key];
}else{
return false;
}
}
app.get('/login', function (req, res, next) {
if(req.session.isAuthenticated()) {
redirectPath = validateRedirect(req.query.url);
if(redirectPath) {
res.redirect(encodeURI(baseHostname + redirectPath));
}else{
res.send('Not a valid redirect!');
}
}
});

其他重定向场景

在某些情况下,将每个组合列入白名单是不切实际的,不过有些安全平台仍然希望重定向用户并将其保留在域内某些边界内。当外部提供的值遵循特定模式(例如16个字符的字母数字字符串)时,最好这样做。字母数字字符串是理想的,因为它们不包含任何可能引入其他攻击的特殊字符,例如目录/路径遍历(依赖于诸如…和向后/向前斜杠之类的字符)。

例如,安全平台可能希望在用户登录后将其重定向回电子商务网站上的特定产品。由于电子商务网站对每种产品都有唯一的字母数字值,因此安全平台可以通过始终根据RegEx白名单验证外部输入来实现安全重定向。在本文所讲的样本在,研究者用的是productId变量。

//Configure your whitelist
var baseHostname = "https://example.com";
app.get('/login', function (req, res, next) {
productId = (req.query.productId || '');
whitelistRegEx = /^[a-zA-Z0-9]{16}$/;
if(productId) {
//Validate the productId is alphanumeric and exactly 16 characters
if(whitelistRegEx.test(productId)) {
res.redirect(encodeURI(baseHostname + '/item/' + productId));
}else{
//The productId did not meet the RegEx whitelist, so return an error
res.send('Invalid product ID');
}
}else{
//No productId was provided, so redirect to home page
res.redirect('/');
}
});

最后,安全平台发出警告,警告用户他们正在被自动重定向是值得重视的。如果安全平台有意将用户重定向到域外,则可能需要在流程中创建一个中间页面,该页面会发出如下警告,并包含用户要重定向到的URL。

 

注:本文是以Hailstone为例进行讲解的,Hailstone是一个应用程序安全平台,它有查找代码中的漏洞功能。

本文翻译自:https://blog.hailstone.io/how-to-prevent-unsafe-redirects-in-node-js

同步发布:  https://www.geek-share.com/detail/2751082347.html 

© 著作权归作者所有

开元中国2015
粉丝 44
博文 66
码字总数 96190
作品 0
大兴
私信 提问
关于node.js的路由问题

小弟我最近在研究node.js, 但是关于路由部分的内容不怎么了解, 不知道node.js是如何进行页面之间跳转的,比如登陆页面登陆成功后就跳转到成功的页面这种。有没有哪位高手详细讲解下呗,如果...

杜子美
2014/11/06
192
0
如何防御Node.js中的不安全跳转

         什么是不安全的重定向?   对于任何web开发人员来说,不安全或未经验证的重定向都是重要的安全考虑因素。Express为重定向提供了本地支持,使它们易于实现和使用。然而,Exp...

嘶吼RoarTalk
2018/10/09
0
0
一台 VPS 主机运行多个网站,多个 HTTPS 域名(基于 nodejs)

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/zhangxin09/article/details/80300481 四年前写过一篇《用 nodejs 做反向代理服务器》,那时基于 HTTP 的,时...

sp42a
2018/05/13
0
0
轶哥/weixin-login

微信扫码登陆 微信开放平台扫码登陆解析处理工具😊,将frame数据处理为图片或Base64图片数据返回客户端进行扫码。 解决Chrome70中open.weixin.qq.com腾讯SSL证书不被信任的问题,解决Chrom...

轶哥
2018/08/21
0
0
Hyperledger Fabric Node.js开发中如何使用日志

Hyperledger Fabric Node.js开发中如何使用日志?本教程就来演示下如何使用hyperledgefabric node.js客户端日志记录功能。 概述 hyperledger fabric node.js客户端日志记录使用node.js 开发包...

笔阁
07/04
13
0

没有更多内容

加载失败,请刷新页面

加载更多

IT兄弟连 HTML5教程 HTML5的基本语法 简单HTML实例制作

现在学习HTML5的方式 目前HTML还处于HTML4与HTML5之间的过渡使用阶段。移动端的Web界面开发已经全面使用HTML5的技术,而在PC端由于用户升级浏览器周期较长,面临着页面的兼容性问题,以及开发...

老码农的一亩三分地
12分钟前
2
0
[Android] 【每日更新书源】「阅读」APP -100+ 精品书源一键导入!每天自动更新最新书源!

我特地写了个爬虫爬取书源,每天自动更新书源(URL是固定的)!大家也可以定期导入一下! 放心!导入时会自动去除重复书源的! 前段时间我发过一个书源大礼包的帖子,不过现在已经无法编辑修...

xiaogg
16分钟前
5
0
Qt编写自定义控件58-直方对称图

一、前言 本控件也非原创控件,是参考网上的代码而来的,对称顾名思义就是将画布平均成上下两部分,将设置的值自动按照画布高度的一半作为参照高度进行绘制,然后增加动态过渡效果,有点类似...

飞扬青云
26分钟前
6
0
Java中创建对象的5种方法

将会列举5种方法去创建 Java 对象,以及他们如何与构造函数交互,并且会有介绍如何去使用这些方法的示例。 作为一个 Java 开发人员,我们每天都会创建大量的 Java 对象,但是我们通常会使用依...

liululee
29分钟前
5
0
Java描述设计模式(11):观察者模式

本文源码:GitHub·点这里 || GitEE·点这里 一、观察者模式 1、概念描述 观察者模式是对象的行为模式,又叫发布-订阅(Publish/Subscribe)模式。观察者模式定义了一种一对多的依赖关系,让多...

知了一笑
今天
6
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部