Node.js Express框架安全问题
我正在寻找应该添加到Node/Express应用程序中的模块,这些模块可以解决下面列出的一般安全问题:
- 注入漏洞(JavaScript、SQL、Mongo、HTML)
- 会话固定和hijacking
- Cross-Site漏洞(脚本、请求伪造)
- 批量SQL相关问题
谢谢你的帮忙!
我找到了一些资源:
优秀演讲(2012年11月):http://lanyrd.com/2012/asfws/sxzbm/ (见幻灯片)
ServerFault问题(2011-2012):https://serverfault.com/questions/285123/is-node-js-mature-for-enterprise-security
博客主题(2012年9月9日):http://codefol.io/posts/29-Why-Rails-and-not-Sinatra-or-Node-js-
漏洞测试器:https://code.google.com/p/skipfish/
Passport模块:https://github.com/jaredhanson/passport
EveryAuth模块:https://github.com/bnoguchi/everyauth
回答 4
Stack Overflow用户
发布于 2013-01-31 11:11:13
我写了一篇博客文章,为Writing Secure Express.js Apps提供了一个很好的起点。它涵盖了zeMirco提到的csrf和头盔之外的其他一些东西。
另一件事是你不能把express.js和rails相提并论。它们是苹果和桔子。例如,没有与Express捆绑在一起的ORM,第三方模块的实现或使用取决于您。
我会试着给出你所关心的每一个问题的细目。
-Injection Vulnerabilities (JavaScript, SQL, Mongo, HTML)同样,这些都不是express中内置的。最接近的就是XSS对模板注入的担忧。Jade或EJS模板通常与express输出一起使用,默认情况下对<>“‘和&进行编码,但请记住,还有其他上下文,比如用户输入到JavaScript或CSS中,您需要担心。
-Session fixation and hijacking再次查看上面的博客文章,但是Express是基于并使用大多数connect中间件的,其中之一是会话中间件。这里最重要的事情是正确设置您的cookie标志。
-Cross-Site Vulnerabilities (Scripting, Request Forgery)请参见上面的。它还附带了express.csrf()中间件。提到的博客文章展示了如何实现它。
-Mass Assignment这不是express.js的问题,因为它没有适用于这种类型的易受攻击的概念,但是您编写的自定义逻辑实际上可能易受此问题的影响,因此再次需要验证您的代码是否易受攻击,或者您使用的第三方模块是否……
Stack Overflow用户
发布于 2013-09-07 07:23:26
要提防的一件事是bodyParser。请参阅http://andrewkelley.me/post/do-not-use-bodyparser-with-express-js.html
https://stackoverflow.com/questions/14612143
复制相似问题
腾讯云开发者
