Mein Vortrag auf der EnterJS 2015 über Sicherheit in Node.js Applikationen. Es werden verschiedene Angriffsvektoren vorgestellt und wie man ihnen begegnen kann.
6. Strict Mode
JavaScript soll robuster und sauberer werden.
Function Scope wird besser geschützt. Caller und Callee
soll es in Zukunft nicht mehr geben. Auch auf Arguments
kann man nicht mehr von außen zugreifen.
8. JavaScript und Dynamik
console.log = function () {
alert(arguments[0]);
}
In JavaScript kann nahezu alles überschrieben werden. So
können Wrapper um wichtige Funktionen und Objekte wie
z.B. console.log gelegt werden.
In Node.js kann man da auch einiges machen…
9. JavaScript und Dynamik
var b = require('./b');
console.log(b.b);
console.log(a);
a.js
a = 'Wert von A';
module.exports = {
b: 'Wert von B'
};
b.js
Ausgabe?
$ node a.js
Wert von B
Wert von A
10. JavaScript und Dynamik
var b = require('./b');
console.log(b.b);
console.log(a);
a.js
a = 'Wert von A';
module.exports = {
b: 'Wert von B'
};
b.js
Ausgabe?
$ node a.js
HEHE!HEHE!
console.log = function () {
process.stdout.write('HEHE!');
};
12. Namespacing
Mit diesen globalen Variablen und der Möglichkeit des
Überschreibens ist es sehr einfach Dummheiten zu machen.
Deshalb ist es immer gut, Quellcode in eine Immediate
Function zu packen, um die verwendeten Variablen besser
unter Kontrolle zu haben.
14. Angriffsvektoren
Welche Ressourcen kann ein Angreifer in unserem System
attackieren?
Welche Art von Angriff kann erfolgen?
Wie kann man diesen Angriffen begegnen?
16. Memory
Arbeitsspeicher des Systems.
Wird verwendet, um Objekte zu speichern.
Wird regelmäßig durch den Garbage Collector aufgeräumt.
Achtung: Node.js Prozesse haben meist eine längere
Laufzeit. Ein Memory Leak hat hier erhebliche Auswirkungen.
19. Memory
Der Speicherverbrauch wird gefährlich, wenn wir dem
Benutzer einen Teil der Kontrolle überlassen, z.B. wie viele
Elemente generiert werden, was in Objekte eingelesen wird,
…
20. Memory
Erstellung und Größe von Objekten kontrollieren.
Benutzereingaben immer validieren und sinnvoll limitieren.
22. Netzwerk
Kommunikation zwischen Client und Server. Meist auf Basis
von HTTP.
Empfangen von HTML, CSS, JavaScript und Mediendaten.
Senden von Informationen.
Vom Client initiiert. In der Regel unidirektional.
23. Netzwerk
DOS: Denial of Service. Ein Angreifer macht viele Anfragen
auf unser System.
Das System behandelt die Anfragen wie reguläre Anfragen.
Es bleiben kaum Ressourcen für sinnvolle Anfragen übrig.
25. Netzwerk
Maßnahmen gegen DOS: Systeme abschirmen. Firewall-
Regeln => Admin Stuff.
Ziel ist, dass die Anfragen nicht mehr bis zum System
durchkommen.
26. Netzwerk
Zugriffe loggen. Mustererkennung und Logfile-Auswertung.
Achtung: Datei nicht zu groß werden lassen, das kann
wiederum zu einer anderen Art von Attacke werden.
Lösung: logrotate, etc.
var morgan = require('morgan');
var fs = require('fs');
var accessLogStream = fs.createWriteStream(__dirname + '/access.log',
{flags: 'a'});
app.use(morgan('combined', {stream: accessLogStream}));
28. Netzwerk
Was können wir jetzt in der Applikation tun?
Anfragen schnell beantworten oder abweisen, wenn
bestimmte Muster zutreffen. Eingehende IP-Muster
blockieren.
app.get('/', function (req, res) {
console.log(req.connection.remoteAddress);
res.send('Hello World!');
});
31. Speicher
Langfristiger Speicher auf der Festplatte. Zum Persistieren
von Informationen in Form von Dateien und Verzeichnissen.
Synchroner und asynchroner Zugriff möglich.
36. CPU
Rechenzeit der CPU, die der Node.js-Prozess nutzt. Node.js
ist zunächst Single-Threaded. Es können Kindprozesse
erzeugt werden. Im Node.js-Prozess läuft nur der eigene
Code, alles andere wird ans Betriebssystem ausgelagert.
37. CPUvar express = require('express');
var app = express();
app.get('/', function (req, res) {
console.timeLog('incoming request');
var count = 0;
while(true) {
if (count > 1999999999) {
break;
}
count++;
}
console.timeLog('answering request');
res.send('Hello World!');
})
app.listen(8080);
43. Kindprozesse
Achtung: Jeder Kindprozess bedeutet Overhead, da er
Arbeitsspeicher und CPU-Ressourcen benötigt.
Nicht unlimitiert Kindprozesse forken. Mehr Kindprozesse
als Anzahl der CPU-Kerne bringt keinen wirklichen Mehrwert.
47. Berechtigung
Die Applikation hat die gleichen Berechtigungen, die der
Benutzer hat, der sie startet.
Eine Node.js-Applikation kann mit diesen Berechtigungen auf
die Ressourcen des Rechners zugreifen, z.B. CPU,
Arbeitsspeicher, Speicher.
56. OK, und warum ist das
jetzt so gefährlich?
Jörg Blanke / pixelio.de
57. NPM
Admin-Berechtigung für globale Installation erforderlich, weil
die Software in ein Systemverzeichnis installiert wird.
$ sudo npm install -g karma-cli
58. NPM
Hijacking bekannter Module durch Typos wie z.B. express.js
mit epress.js.
Und wenn diese dann auch noch die ursprüngliche
Funktionalität wrappen, wird es echt übel.
71. Helmet
• contentSecurityPolicy: Vermeiden von Injections von Content.
• hidePoweredBy: x-powered-by ist weg.
• hpkp: HTTP Public Key Pinning - Public Key wird mit einem Server verbunden
(gegen MITM).
• hsts: HTTPS statt HTTP nutzen.
• ieNoOpen: X-Download-Options wird auf noopen gesetzt (für IE)
• noCache: Clientseitiges Caching wird deaktiviert.
• noSniff: Browser weist Antworten mit dem falschen MIME-Type ab (X-
Content-Type-Options).
• frameguard: Seite kann nicht in Frames eingebunden werden, verhindert
Clickjacking.
• xssFilter: X-XSS-Protection Header wird gesetzt.
72. Helmet
Die Features können auch getrennt voneinander eingesetzt
werden.
app.use(helmet.hidePoweredBy());
73. Helmet
$ npm install --save helmet
var express = require('express');
var helmet = require('helmet');
var app = express();
app.use(helmet());
75. SQL Injection
Angriffe auf die Datenbank im Zuge einer regulären Abfrage.
SELECT * FROM users WHERE ID = 1;
UNION SELECT * FROM users;
SELECT * FROM users WHERE ID = 1 UNION SELECT * FROM users;
76. SQL Injection
app.get('/list', function (req, res) {
var id = req.query.id;
var query = 'SELECT * FROM users WHERE id = ' + id;
db.all(query, function (err, rows) {
console.log(err);
res.send(rows);
});
});
http://localhost:8080/list?id=1%20union%20select%20*%20from%20users
SELECT * FROM users WHERE id = 1 union select * from users;
77. SQL Injection
app.get('/list', function (req, res) {
var id = req.query.id;
var query = 'SELECT * FROM users WHERE id = ?';
db.all(query, id, function (err, rows) {
console.log(err);
res.send(rows);
});
});
SELECT * FROM users WHERE id = ‘1 union select * from users’;
http://localhost:8080/list?id=1%20union%20select%20*%20from%20users
79. XSS
Cross-Site Scripting. Benutzer speichert JavaScript-Code,
der auf anderen Systemen ausgeführt wird.
Kann z.B. für Identitätsdiebstahl verwendet werden.
80. XSS
app.get('/list', function (req, res) {
var id = req.query.id;
var query = 'SELECT * FROM users WHERE id = ?';
db.all(query, id, function (err, rows) {
require('fs').readFile('list.html', 'utf-8', function (err,
data) {
data = data.replace('${query}', id);
data = data.replace('${result}', rows);
res.send(data);
});
});
});
<body>
Sie suchten nach: ${query}
${result}
</body>
85. CSRF
Code einschleusen, um mit dem Browser des Benutzers auf
anderen Seiten Aktionen durchzuführen.
Meist ist der Benutzer dazu auf der anderen Seite angemeldet
und führt z.B. unbeabsichtigt Einkäufe oder Ähnliches durch.
86. CSRF
Tokenbasierte Kommunikation zwischen Client und Server.
Anfragen werden nur mit gültigem Token angenommen.
<input type="hidden" value="${csrftoken}">
app.use(csrf());
app.use(function (req, res, next) {
response.locals.csrftoken = request.csrfToken();
});