如何做好nodejs服务在服务器上的安全防护?

最新推荐文章于 2024-05-29 09:30:00 发布
最新推荐文章于 2024-05-29 09:30:00 发布
阅读量630 收藏
点赞数
文章标签: 服务器 安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30871771/article/details/129488179
版权

Web服务器安全问题仍然是IT部门最关心的问题之一,因为频发的网络攻击已被证明。由于存在托管敏感数据,Web服务器是一个组织中最容易被黑客针对攻击的地方。因此,本篇文章结合nodejs服务对如何提高Web服务器安全性给出了下面几条提示。

一、合理运用helmet

Helmet是一个能够帮助增强Node.JS之Express/Connect等Javascript Web应用安全的中间件。使用Helmet能帮助你的应用避免对Web攻击有XSS跨站脚本, 脚本注入 clickjacking 以及各种非安全的请求等对Node.js的Web应用构成各种威胁。
安装Helmet:

npm install helmet --save;

在Express使用Helmet:

const express = require('express')
const helmet = require('helmet')
const app = express()
app.use(helmet())

helmet是14个较小的中间件函数的集合,这些函数设置http响应头;各模块具体如下:

二、避免使用字符串拼接的sql查询语句

SQL注入攻击是黑客对数据库进行攻击的常用手段之一,它通过用户输入注入部分或完整的SQL查询,由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入;
下面是一些例子:

select title, author from books where id=$id

如果$id来源于用户的输入,如果用户输入了2 or 1=1会怎么样?查询语句会变成这样:

select title, author from books where id=2 or 1=1

就可以直接随心所欲的查询所有的数据。

如何避免sql攻击

1、参数检查:验证用户的输入再将其并入SQL语句

简单来说就是见用户的输入进行检查,避免用户输入中含有sql语句,是一种非常常见、高效的方法,但不是绝对安全的,假如你的验证做的不够彻底,那么就可能留出被攻击的窗口,不过因为其简便性,也是很多开发者选择的防范方法。

2、将用户输入作为参数传给处理程序处理成单纯的字符串。

像nodejs的mysql模块中,为了防止SQL注入,可以传入参数进行编码。参数编码方法有:mysql.escape()/connection.escape()/pool.escape(),这三个方法可以在你需要的时候调用:

var userId = 'some user provided value';
var sql    = 'SELECT * FROM users WHERE id = ' + connection.escape(userId);
connection.query(sql, function(err, results) {
  // ...
});

同样的,也可以使用?做为查询参数占位符,这与查询值编码效果是一样的:

connection.query('SELECT * FROM users WHERE id = ?', [userId], function(err, results) {
  // ...
});

在使用查询参数占位符时,在其内部自动调用connection.escape()方法对传入参数进行编码。

三、预防CSRF

CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:

攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。
CSRF 的防御,可以从以下两个方面入手:
1、合理使用Token原理(WEB令牌),避免利用session, 避免攻击者利用csrf进行攻击
2、在一些重要的地方加入一些强验证机制,例如:短信验证、邮箱验证等等。

四、部署具备应用层威胁防御能力的安全产品

建议使用提供web应用防火墙的云服务器:结合人工智能机器学习技术,通过灵活的部署方式,持续的机器学习,构建积极防御安全模型( AI SecurityTM )。能识别信任流量与不可信流量,实时拦截包括0-day和已知攻击在内的不可信流量,保护关键业务的Web应用。如果业务量到达了一定的高度,可以考虑一下类似的安全防护产品,能够有效帮助你避免很多一些攻击。

 

小黑引领未来
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
节点卫士:ExpressJS中间件可防止NoSQL注入
02-20
节点守护者 ExpressJS中间件可防止NoSQL注入
helmet是一个保护Node.JS应用的安全项目
上帝已逝,自求多福
01-04 5950
Helmet是一系列帮助增强Node.JS之Express/Connect等Javascript Web应用安全的中间件。 一些著名的对Web攻击有XSS跨站脚本, 脚本注入 clickjacking 以及各种非安全的请求等对Node.js的Web应用构成各种威胁,使用Helmet能帮助你的应用避免这些攻击。 安装Helmet: npm install helmet --save
【Node.js实战】一文带你开发博客项目之安全(sql注入、xss攻击、md5加密算法)
最新发布
qq_44005305的博客
05-29 1298
前面,我们使用原生 nodejs 已经大体完成了 myblog 的项目,下面我们来学习一下如何为我们项目的安全保驾护航…sql注入:窃取数据库内容XSS攻击:窃取前端的 cookie 内容密码加密:保障用户信息安全(重要!我们只关注通过 web server (nodejs)层面预防至此,我们明白了如何防止sql注入、如何预防xxs攻击、以及如何为密码加密继续跟进学习吧!后续会对该项目进行多次重构【多种框架(express,koa)和数据库(mysql,sequelize,mongodb)】
node后端helmet中间件
T3165919332的博客
03-18 634
是一个 Node.js 的中间件,用于增强 Web 应用程序的安全性。它通过设置各种 HTTP 头来增加安全性,以防止一些常见的攻击。可以帮助你设置内容安全策略头部,以限制浏览器加载资源的来源,从而减少 XSS 攻击的风险。中间件,你可以方便地增强你的 Express 应用程序的安全性,减少一些常见的安全风险。可以帮助你设置缓存控制头部,以减少敏感数据的泄露和缓存中的信息泄露。头部,以防止浏览器进行 DNS 预取,减少敏感数据的泄露。可以帮助你防止 CSRF 攻击。头部,以减少信息泄露的风险。
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6484
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
nodejs一个简单的文件服务器的创建方法
10-16
注意,这个简单的文件服务器并未处理目录遍历和安全问题,实际应用中应增加相应的防护措施,避免用户访问到非公开的文件或目录。 总的来说,创建Node.js文件服务器的过程涉及到了HTTP协议、文件系统操作以及HTTP...
serverspy:用NodeJS编写的服务器控制面板
05-20
在IT领域,服务器控制面板是一个至关重要的工具,它允许管理员通过图形化界面(GUI)轻松管理服务器的各项服务、监控系统状态、配置网络设置以及执行其他运维任务。"serverspy"是一个使用Node.js开发的服务器控制...
Node.js-使用Nodejs和Dat的密码可审计的VM服务
08-10
其非阻塞I/O模型和事件驱动架构使其非常适合处理大量并发连接,因此在构建Web服务器和网络服务方面非常流行。 在安全相关的开发中,密码管理是至关重要的。密码可审计性意味着系统能够跟踪和记录密码的使用、修改和...
图解NodeJS实现登录注册功能
10-16
在实际项目中,我们需要进一步完善安全性,例如使用bcrypt对密码进行哈希加密,利用JWT进行用户身份验证,以及考虑CSRF攻击防护等。 通过这个项目,读者可以了解到如何结合NodeJS、Express和MongoDB来开发一个简单...
todo-api:Todo api服务器
04-28
【标题】"Todo API服务器" 是一个基于Node.js和Express框架构建的应用,专门用于实现待办事项(Todo)相关的API服务。这个项目的核心是提供一套RESTful接口,使得客户端能够进行增删查改(CRUD)操作,管理用户的待...
学习笔记:node-mysql中防止SQL注入
08-10 582
备注: 本文针对 mysqljs/mysql。 为了防止SQL注入,可以将SQL中传入参数进行编码,而不是直接进行字符串拼接。在node-mysql中,防止SQL注入的常用方法有以下四种: 方法一:使用escape()对传入参数进行编码: 参数编码方法有如下三个: mysql.escape(param) connection.escape(param) pool.escape(par
Node.js 解决sql注入问题
xuforeverlove的博客
04-01 2123
这段时间维护Node.js编写的项目,发现登陆SQL注入问题。经过一番折腾解决了这个问题,现记录如下: 一、问题描述 const crypto = require('crypto'); const conn = require('../../libs/Conn'); const mysql = require('mysql'); module.exports = async functi...
[翻译] mongodb+express noSQL 注入
weixin_33739541的博客
03-05 236
http://v.youku.com/v_show/id_... 以前一直有印象 mongodb 的查询不同于 sql 的查询,因为没有字符串拼接不会出现类似 sql 注入的问题. 但是这个视频一个简单的例子就给出了 noSQL 环境下的注入的思路. 那其实作为一个web开发者, "永远不相信用户的输入"就应该作为自己的座右铭. 视频中提...
央视“315晚会”上曝光的“网络水军”要怎么从技术上防范
dingxiang234的博客
03-17 305
根据报道,某公司推出额云控系统,一台手机,可同时操控200到20000台手机。为了让水军看起来更像真实用户,该云控系统还能事先设定批次、进入时间以及不同的发言内容等进入直播间,甚至还可以去竞争对手的直播间,自动投诉甚至抹黑。这已经是一条成熟的黑灰产。防范黑灰产需要多种措施,其中之一是在代码中采取一些措施来增加安全性。以下是一些可供参考的代码实践,以防止黑灰产行为。总之,这些代码实践只是防范黑灰产的一部分,还有许多其他措施,如加强网络安全、持续监控等等。
参数化查询,防止sql注入漏洞
weixin_30385925的博客
03-19 334
参数化查询,防止sql注入漏洞攻击   这几天对于sql注入攻击进行了详细的研究,在这里做一下回顾。  首先,什么是注入漏洞攻击呢?所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。通常的解决方案有过滤敏感字符,比如说过滤掉or, and , select sql等关键字,但是,这种方法存在一定的缺陷,在这里不做讨论...
防止SQL注入的五种方法
热门推荐
路漫漫~
05-09 4万+
一、SQL注入简介 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。     SQL注入是比较常见的
node-npm安全性插件helmet(防护包含点击劫持、xss、嗅探攻击...)
momDIY的博客
08-08 5857
## helmet.js 基于node-express的一款安全防护中间件,可以通过设置各种HTTP标题来帮助您保护您的Express应用程序。
服务器部署nodejs
08-14
当在服务器上部署 Node.js 时,可以按照以下步骤进行操作: 1. 首先,确保服务器已安装 Node.js 运行环境。可以使用以下命令检查是否已安装 Node.js: ``` node -v ``` 如果未安装 Node.js,请按照适合服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小黑引领未来

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值