express中间件当做前端服务器的安全漏洞处理
使用express当做node服务器时,发现安全漏洞,记录处理步骤: PS:以下安全内容处理,需要使用到redis进行会话存储、请求计数、请求唯一限制等。为尽量确保开发环境与部署环境一致,请开发环境安装并启动Redis服务。 此文档只是说明记录关键步骤。具体实现代码可参照附件。
1、cookie没有加签、缺少sameSite参数
使用clientKey给cookie加签,所有通过res.cookie()方法设置cookie的地方都需要设置,此处只是演示:
// app.js
...
// 设置cookie时,如果需要使用签名加密,必须在此处设置签名字符串
app.use(cookieParser(clientKey));
...
...
// 修改前
res.cookie('C2AT', data.access_token, { maxAge: parseInt(data.expires_in) * 1000});
// 修改后
res.cookie('C2AT', data.access_token, { maxAge: parseInt(data.expires_in) * 1000,sameSite:true,signed:true });
...
加签后的cookie获取方式需要修改:
...
// 加签前
let c2at = req.cookie.C2AT;
// 加签后
let c2at = req.signedCookies.C2AT;
...
2、图形验证码登录,抓包登录接口后使用相同验证码登录(Replay)成功
原因: express使用了cookie-session中间件,该中间件是将session数据存放在了cookie之中,导致使用相同的cookie时,sessoin中拿到的验证码是同一个。 解决方案: 使用express-session中间件,将session存放在服务器,cookie中只有sessionId。中间件文档:https://express.nodejs.cn/en/resources/middleware/session.html demo项目环境:node V16.19.0、express ^4.15.5,版本不一致,插件版本可能也不一致(插件部分API可能不一致),根据各自项目版本适配。 此处使用redis数据库作为session存储,根据项目不同,还可以使用其他,具体参照文档修改关键位置。
依赖包准备:
npm install express-session@1.15.6 redis@3.1.2 connect-redis@6.1.3 dotenv@16.0.3
环境变量,在express项目根目录下新建.env文件,在该文件中添加环境变量(使用云平台部署方式,该文件中的环境变量会被云平台注入的同名环境变量覆盖)
// .env
# redis配置
redis_host=127.0.0.1
redis_port=6379
redis_db=10
关键代码
// app.js
// 引入环境变量,尽可能早
require('dotenv').config();
var express = require('express');
var app = express();
// 将session信息存放在服务端,必须要设置数据库保存session
var session = require('express-session');
// 链接redis
var RedisStore = require("connect-redis")(session);
// redis 数据库
const redis = require("redis");
...
...
// 初始化redis
const redisClient = (function(){
let client = redis.createClient({
url:`redis://${process.env.redis_host || '127.0.0.1'}:${process.env.redis_port || '6379'}/${process.env.redis_db || '0'}`,
// username:'',
// password:'',
});
client.on("error", function(error) {
console.error('redis链接失败',error)
});
client.on("connect", function() {
console.log('redis链接成功')
});
return client;
})();
// 初始化session使用的store
const redisStore = (function(){
let store = undefined;
// 部署环境必须指定外部存储会话
if(process.env.NODE_ENV === 'production'){
store = new RedisStore({
client: redisClient,//redis客户端,必须要指定db
prefix: "webSession:",//在redis中的key名
});
// 初始化时,从存储中删除所有会话
store.clear();
}
return store;
})();
// 初始化session中间件,会话信息存储在服务器,只在cookie中设置sessionid
app.use(session({
secret: clientKey,//对session数据进行加密的字符串.这个属性值为必须指定的属性(使用cookieParser时,两个中间件的签名需要一致)
resave: true, // session(cookie中存在sessionId的session)没有被修改,也保存session
saveUninitialized: false, // 强制将“新的且未修改”的会话保存到存储中。
rolling:false,//强制在每个响应上设置会话标识符 cookie。 到期重置为原来的maxAge,重置到期倒计时。默认值为false。
cookie: {
maxAge: 1000 * 60 * 60 * 24 * 7,
signed: true,
sameSite:true,//是否为同一站点的cookie
},
store:redisStore
}));
...
...
// 登出操作,清空cookie,前端再执行重定向
app.post('/check_out', function (req, res) {
...
req.session.destroy()
...
});
...
// 获取用户信息
app.get('/user_info', function (req, res) {
...
UserUtils.commonCheckToken(res, req).then((tokenInfo) => {
// 修改session内容,触发session保存到redis、并向res cookie中设置sessionid
req.session.userId=tokenInfo.userId;
...
...
...
初始化express-session中间件后,在接口中正常使用req.session 即可。
3、抓包后,更改接口参数请求成功(参数篡改)、重复请求接口(Replay)请求成功(接口重放)
基于session进行参数加签,请确保已经完成问题2的处理,同时需要前端配合使用MD5对关键接口加签(通过浏览器重定向访问的接口无法处理,需要在.env 中添加request_sign_ignore 忽略接口检查)
环境变量,在.env中添加:
// .env
# 请求签名启用(1启用、默认关闭)ps:因为前端也需要这个变量所以添加前缀custom_
custom_request_sign_enable=1
# 请求签名超时毫秒(同一个请求客户端时间戳和服务器时间戳的过期阈值)
request_sign_time_out=30000
# 需要签名的请求正则字符串
request_sign_reg=\/proxy|\/product-im|\/other-anonymous|\/uploadsFiles|\/downloadFiles|\/qrcode|\/qrcode\/scan|\/custom-code|\/custom-login|\/oauth2-login|\/end-login|\/check_out|\/user_info|\/custom\/env|\/company
# 忽略签名校验的请求正则字符串
request_sign_ignore=\/oauth2-login|\/downloadFiles
app.js 关键代码
...
// 初始化私钥和公钥(!!!注意:私钥不能暴露到外部,必须保留在服务器)
const rsaPublicKey = encryUtils.rsa_publicKey();
global.rsaPrivateKey = encryUtils.rsa_privateKey();
// 初始化自定义环境变量
const custom_env = (function(){
const envs= process.env || {};
const customEnvs = {};
Object.keys(envs).forEach(key => {
// 注意:只获取自定义的环境变量,其他环境变量可能包含服务器信息,通过接口返回可能不安全,请谨慎处理
if(typeof key === 'string' && key.startsWith('custom_')){
customEnvs[key] = envs[key]
}
});
return customEnvs;
})();
...
...
// 调试开发时进行跨域设置
app.use(cors({
...
headers: 'Authorization,x-requested-with,content-type,content-length,paramSign,sign,requestTime',// 开发环境跨域,需要添加paramSign,sign,requestTime允许跨域
}));
//应用的每个请求都会执行该中间件
app.use(function (req, res, next) {
...
// 修改session内容,触发session保存到redis、并向res cookie中设置sessionid
req.session.lastTime=new Date().getTime();
next();
});
// request 有效性验证
app.use(new RegExp(process.env.request_sign_reg),function(req, res, next){
if(process.env.custom_request_sign_enable === '1'){
if(process.env.request_sign_ignore && new RegExp(process.env.request_sign_ignore).test(req.originalUrl)){
// 存在忽略请求配置,且忽略正则匹配成功 则不校验
next();
}else{
validRequest({
req,
res,
rsaPrivateKey,
redisClient
}).then(res => {
logger.info('validRequest success ----------> ' + req.originalUrl);
next();
}).catch((err) => {
console.error('validRequest fail ----------> ',req.originalUrl,err)
const e = typeof err === 'string' ? {status:'500',errorCode:'error',errorMessage:err} : err;
res.status(e.status).json(e);
});
}
}else{
next();
}
})
...
...
//前端html模板引用configuration.js将环境变量等信息注入到前端全局变量
app.get('/configuration.js', function (req, res) {
// 获取自定义环境变量
function loadCustomEnvVar(){
let customEnvs = '';
Object.keys(custom_env).forEach(key => {
customEnvs += `${key}="${custom_env[key]}",`;
});
customEnvs = customEnvs.substring(0,customEnvs.lastIndexOf(','));
return customEnvs;
}
res.setHeader('Content-type', 'application/javascript; charset=UTF-8');
res.send(`const ${loadCustomEnvVar()},pubKey="${rsaPublicKey}";`);
});
...
express服务器EncryptionUtils.js 加密工具,见附件:express:EncryptionUtils.js ValidateUtils.js 请求有效性校验工具,见附件:express:ValidateUtils.js 前端参数签名关键代码,request.ts
// request.ts
...
...
// 请求拦截器,为请求加签
request.interceptors.request.use((url, options) => {
const { params, data, } = options;
const query = getQueryObject(url);
const { paramSign, sign, requestTime } = requestSign({ ...query, ...params }, data);
return {
url, options: {
...options,
headers: {
...options.headers,
paramSign,
sign,
requestTime,
}
}
}
});
...
...
/
* 请求签名
* @param params query参数对象
* @param body body参数对象
* @returns
*/
export const requestSign = (params: object, body: object) => {
// 没有开启请求签名校验(要使用自定义环境变量,首先应当引入全局configuration.js)
if (getCustomEnv('custom_request_sign_enable') !== '1') {
return {};
}
// 时间戳签名
const signtimestamp = new Date().getTime().toString();
// 参数签名
const sign = default_md5_key + signtimestamp;
// 参数转能签名的字符串
const signPramsStr = fomartSignParams2String(params, body);
return {
paramSign: md5_encode(signPramsStr, sign),
sign: rsa_pub_encode(sign),
requestTime: signtimestamp,
}
}
前端附件上传接口签名:
// 三种解决方案
// 1、为每个antd的Upload组件添加签名内容
// 2、自定义组件包装antd的Upload组件,并为其添加签名内容,其他地方用到的Upload组件统一使用自定义的
// 3、express忽略接口中添加附件上传相关接口正则
...
import { requestSign } from '@/utils/request';
...
...
前端EncryptionUtils.js加密工具,见附件web:EncryptionUtils.js 前端获取express中的环境变量函数:
// config.ts
...
const {
...
NODE_ENV
} = process.env;
const isDev = NODE_ENV === 'development';
...
export default {
...
context: {
customConfigPath: (isDev ? constant.express : '') + '/configuration.js',
},
...
}
// document.ejs
...
...
...
...
// utils.ts
...
/
* 获取express提供的配置
* @param name 配置的key
* @returns 配置的值
*/
export const getCustomEnv = (name: string) => {
if (typeof name !== 'string') {
return '';
}
try {
return eval(name) || '';
} catch (error) {
return '';
}
}
...
...
修改完成后,具体实现效果应当为:
前端签名外的地方直接请求express的接口会被拦截(如:浏览器直接访问接口、postman请求接口)抓包后replay会被拦截
4、登录、修改密码等敏感数据未加密
生成RSA秘钥对:参考使用openssl生成RSA秘钥:https://blog..net/qq_37819292/article/details/136320969敏感数据手动加密是有必要的,但数据传输的安全性不要依赖手动加密,请启用HTTPS。express将RSA公钥传输给前端(在第3条中已经添加,此处只展示关键代码,不用重复添加)
...
// 初始化私钥和公钥(!!!注意:私钥不能暴露到外部,必须保留在服务器)
const rsaPublicKey = encryUtils.rsa_publicKey();
global.rsaPrivateKey = encryUtils.rsa_privateKey();
// 初始化自定义环境变量
const custom_env = (function(){
const envs= process.env || {};
const customEnvs = {};
Object.keys(envs).forEach(key => {
// 注意:只获取自定义的环境变量,其他环境变量可能包含服务器信息,通过接口返回可能不安全,请谨慎处理
if(typeof key === 'string' && key.startsWith('custom_')){
customEnvs[key] = envs[key]
}
});
return customEnvs;
})();
...
...
app.get('/configuration.js', function (req, res) {
// 获取自定义环境变量
function loadCustomEnvVar(){
let customEnvs = '';
Object.keys(custom_env).forEach(key => {
customEnvs += `${key}="${custom_env[key]}",`;
});
customEnvs = customEnvs.substring(0,customEnvs.lastIndexOf(','));
return customEnvs;
}
res.setHeader('Content-type', 'application/javascript; charset=UTF-8');
res.send(`const ${loadCustomEnvVar()},pubKey="${rsaPublicKey}";`);
});
...
前端使用RSA公钥加密账号密码等敏感信息(只是登录、修改密码的信息,RSA加密即可;其他地方加密内容过多时,使用RSA+AES的方式)
// login.ts 登录信息加密
...
import { rsaEncodeBodyInfo } from '@/utils/EncryptionUtils';
...
* login({ payload }, { call, put }) {
// 登录信息加密
let paramObj = rsaEncodeBodyInfo(payload);
let response = yield call(fakeAccountLogin, paramObj);
...
},
...
...
// user.ts 修改密码信息加密
...
import { rsaEncodeBodyInfo } from '@/utils/EncryptionUtils';
...
*modifyModifyPwd({ payload, callback }, { call }) {
const params = rsaEncodeBodyInfo(payload);
const response = yield call(updateModifyPwd, params);
if (callback) callback(response);
},
...
...
express使用RSA私钥解密后登录、修改密码
// app.js
...
var encryUtils = require('./utils/EncryptionUtils');
...
// 统一认证登录
app.post('/custom-login', function (req, res) {
const bodyMap = encryUtils.RsaDecodeBodyInfo(req.body,rsaPrivateKey);
const {sn,type,userName,password,code} = bodyMap;
...
});
...
...
// proxy.js
...
const { RsaDecodeBodyInfo } = require('../utils/EncryptionUtils');
...
// 修改密码要对字段信息进行解密
router.use("/edp/v1/users/loginModifyPwd", function (req, res, next) {
req.body = RsaDecodeBodyInfo(req.body,global.rsaPrivateKey);
next();
});
router.use("/", function (req, res, next) {
...
}
...
5、缺少安全相关Header设置
使用helmet可以快速设置安全相关的Header,显著地提升你应用的安全性
安装插件
npm install helmet
使用
// app.js
...
// 设置与安全相关的 HTTP 响应标头
const helmet = require('helmet');
...
var app = express();
// 删除x-powered-by 响应头
app.set('x-powered-by',false)
// 设置与安全相关的 HTTP 响应标头
app.use(helmet({
// 跨域资源策略 "same-origin" | "same-site" | "cross-origin"
crossOriginResourcePolicy: { policy: "same-site" },
}));
...
6、暴力请求,可无限次对服务器发起请求
通过循环等方式对接口暴力请求,常见登录密码暴力破解等脚本攻击。使用rate-limiter-flexible可以限制用户/IP对接口的访问速率,超过访问速率进行访问限制。
安装插件
npm install rate-limiter-flexible
环境变量
//.env
# 请求速率限制启用(1启用、默认关闭)
request_limit_enable=1
# 请求速率限制周期内可消耗计数点
request_limit_points=60
# 请求速率限制周期内最小访问次数限制(/proxy 和 /product-im 的接口外受此限制)
request_limit_min_count=5
# 请求速率限制重置周期s
request_limit_duration=5
# 请求速率超过计数点锁定时长s
request_limit_blockDuration=60
使用
// app.js
...
// 初始化redis客户端
const redisClient = redis.createClient({
url:`redis://${redis_host}:${redis_port}/${redis_db}`,
// username:'',
// password:'',
});
redisClient.on("error", function(error) {
console.error('redis链接失败',error)
});
redisClient.on("connect", function() {
console.log('redis链接成功')
});
...
// 处理请求静态资源中的gzip文件
app.use(function (req, res, next) {
...
});
//请求速率限制
const rateLimiter = (function(){
let limiter = undefined;
if(request_limit_enable === '1'){
limiter = new RateLimiterRedis({
storeClient: redisClient,
keyPrefix: 'rateLimiter',
points: Number(request_limit_points), // 限制周期内的可消耗计数点
duration: Number(request_limit_duration), // 重置计数器周期
blockDuration:Number(request_limit_blockDuration),// 超过计数点的锁定时间
// inMemoryBlockOnConsumed:Number(request_limit_points),// 超过设置的点时,阻止向存储添加计数器
// inMemoryBlockDuration:2,// 阻止向存储添加计数器的时间
insuranceLimiter:new RateLimiterMemory({
points: Number(request_limit_points),
duration: Number(request_limit_duration),
}),//保险,只有当外部存储无法使用时生效
});
}
return limiter;
})()
...
// IP请求速率限制
app.use(function(req, res, next){
if(!rateLimiter){
next();
}else{
// 总点数
const points = Number(request_limit_points);
const minCout = Number(request_limit_min_count);
// 请求消耗的计数点(/proxy 和 /product-im 的接口每次消耗一个计数点,其他类型的接口周期内只能请求5次)
let pointsToConsume = req.path.includes('/proxy') || req.path.includes('/product-im') ? 1 : Math.floor(points / minCout);
rateLimiter.consume(req.ip,pointsToConsume)
.then(() => {
next();
})
.catch(() => {
logger.error('rateLimiter fail ----------> ' + req.originalUrl)
res.status(429).json({errorMessage:'请求过快,请稍后再试'});
});
}
});
// request 有效性验证
app.use(new RegExp(request_sign_reg),function(req, res, next){
...