论node.js的express中csrf的随机验证失败的bug

最新推荐文章于 2024-02-21 11:06:46 发布
最新推荐文章于 2024-02-21 11:06:46 发布
阅读量3k 收藏
点赞数
分类专栏: 解决方案 文章标签: express node.js csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zlymhh/article/details/12679617
版权

背景:

在node.js中直接使用express搭建文档结构,如果需要防护CSRF,需要在app.js中,也就是Middleware配置中,需要加上:

app.use(express.csrf());

问题:

当我加载,ejs的view的时候,如果使用在前端使用ajax再次请求,会获取到新的_csrf值,这原本是没有什么问题的,但是确会随机出现:

Error: Forbidden
    at Object.exports.error (/Users/apple/Desktop/groupbuy/node_modules/express/node_modules/connect/lib/utils.js:62:13)
    at createToken (/Users/apple/Desktop/groupbuy/node_modules/express/node_modules/connect/lib/middleware/csrf.js:82:55)
    at Object.handle (/Users/apple/Desktop/groupbuy/node_modules/express/node_modules/connect/lib/middleware/csrf.js:48:24)
    at next (/Users/apple/Desktop/groupbuy/node_modules/express/node_modules/connect/lib/proto.js:190:15)
    at next (/Users/apple/Desktop/groupbuy/node_modules/express/node_modules/connect/lib/middleware/session.js:312:9)
    at /Users/apple/Desktop/groupbuy/node_modules/express/node_modules/connect/lib/middleware/session.js:336:9
    at /Users/apple/Desktop/groupbuy/node_modules/express/node_modules/connect/lib/middleware/session/memory.js:50:9
    at process._tickCallback (node.js:415:13)

这明显是说因为csrf防护被拦截了。这简直就是奇葩情况。。。


原因:

前端通过不断的访问,发现一个问题,如图:



上图说明,express提供的csrf模块有漏洞,“6gidhoxMfXsLCuzLxAH+zd6+di9pFr6CxQ9MU=”这个字符被判断为匹配不上。


解决过程:

首先为了确认具体情况,深入模块代码(位于:/express/node_modules/connect/lib/middleware/csrf.js)进行研究,发现这个csrf模块是通过checkToken(token,secret)方法并使用createToken(salt,secret)来进行比对,代码块如下:

function createToken(salt, secret) {
   return salt + crypto
     .createHash('sha1')
     .update(salt + secret)
     .digest('base64');
 }


function checkToken(token, secret) {
   return token === createToken(token.slice(0, 10), secret);
 }

为了验证问题,修改 这个方法进行调试: 
function checkToken(token, secret) {
   if ('string' != typeof token) return false;
   console.log("token:"+token);
   console.log("createToken(token.slice(0,10),secret):"+createToken(token.slice(0,10),secret));
   console.log(token===createToken(token.slice(0,10),secret));
   return token === createToken(token.slice(0, 10), secret);
 }

出现异常的结果为:


token:RLaNpX4nMPvsv2 gjZ Rhe911/dDo0VA4Sa4A=
secret:BHNfrSL2QRTiK-DgylWwCYUb
createToken(token.slice(0,10),secret):RLaNpX4nMPvsv2+gjZ+Rhe911/dDo0VA4Sa4A=
false
再次测试,正常为: 

token:dyqRPL8L0ikahAeEMP2Wr/cNcD/hjPRUV0KlM=
secret:BHNfrSL2QRTiK-DgylWwCYUb
createToken(token.slice(0,10),secret):dyqRPL8L0ikahAeEMP2Wr/cNcD/hjPRUV0KlM=
true

 可以清楚的看到,应该是”+“号的位置变成了“ ”

问题原因找到了,那为什么会发生这种情况?


真正的原因:

继续观察模块源代码,csrf.js是通过defaultValue(req)方法来获取到请求中的_csrf值,那修改这部分代码进行验证:

function defaultValue(req) {
     console.log("body._csrf:"+req.body._csrf);
     console.log("query._csrf:"+req.query._csrf);
   return (req.body && req.body._csrf)
     || (req.query && req.query._csrf)
     || (req.headers['x-csrf-token'])
     || (req.headers['x-xsrf-token']);
 }

会出现两种明显的结果:

body._csrf:undefined
query._csrf:5c8lTNnuTB85FF  dVQFYsTpVA MmUgjhH7Yk=

body._csrf:7Ap38aDkBap+1kEvDguMM79/61ytKJYkDZVAY=
query._csrf:undefined

这就证明,不知道是express还是node.js在对get方式的值里面的"+"字符解析不正常。

接着,继续寻找原因:

既然知道是query的原因,就到query.js里面去找原因,修改代码:

module.exports = function query(options){
   return function query(req, res, next){
     if (!req.query) {
       req.query = ~req.url.indexOf('?')
         ? qs.parse(parse(req).query, options)
         : {};
         console.log("parse(req).query:"+parse(req).query);
         console.log("options:"+JSON.stringify(options));
         console.log("qs.parse(parse(req).query,options):"+JSON.stringify(qs.parse(parse(req).query,options)));
     }
     console.log("req.query:"+JSON.stringify(req.query));
 
     next();
   };
 };


运行结果为:

parse(req).query:_csrf=0MppzaqUwEvM1x6S+G8WFnMl96oQ99f+vVthM=
options:undefined
qs.parse(parse(req).query,options):{"_csrf":"0MppzaqUwEvM1x6S G8WFnMl96oQ99f vVthM="}
req.query:{"_csrf":"0MppzaqUwEvM1x6S G8WFnMl96oQ99f vVthM="}

最后发现,原来是一个叫qs模块(/express/node_modules/connect/node_modules/qs)的问题:

查看qu的源代码,由于传入的明显是string,所以应该是parseString(str)的问题:

进一步发现,这个方法内部调用了一个decode(str)方法:

function decode(str) {
   try {
     return decodeURIComponent(str.replace(/\+/g, ' '));
   } catch (err) {
     return str;
   }
 }

终于发现了。。。奇怪,他为什么要换掉+号?难道是避免碰到拼接字符串?


解决方法:

我采取的方法是修改saltedToken(secret)方法:

function saltedToken(secret) {
     var token = createToken(generateSalt(10), secret);
     var re = new RegExp("\\+",["i"]);
     var m = re.exec(token);
     while(m!=null){
         token = createToken(generateSalt(10), secret);
         m = re.exec(token);
     }   
   return token;
     //return createToken(generateSalt(10), secret);
 }

注:如果在客户端把+号改为空格,通过get方式也会变成%字符,而且这个decode方法也不能屏蔽,毕竟这还是很危险的。

魔兽为啥只能做防骑
关注
专栏目录
前端安全之XSS及CSRF
javagty6778的博客
02-11 159
【代码】前端安全之XSS及CSRF
Node.js超详细教程!
最新发布
liubenzun的博客
04-12 1916
nodejs超详细教程!
实战:Express 模拟 CSRF 攻击
azl397985856的专栏
02-20 477
CSRF攻击 是前端领域常见的安全问题,概念方面不再赘述,可以参考维基百科。对于这些概念,包括名词定义、攻击方式、解决方案等估计大家都看过不少,但留下印象总是很模糊,要动手操作一番才能加深...
Express.js实现CSRF防护
weixin_33787529的博客
01-22 379
2019独角兽企业重金招聘Python工程师标准>>> ...
node.js cxrf攻击
qq_33363757的博客
11-18 443
students.ejs代码。students.js代码。index.js代码。
Nodejs实现CSRF防护
Kata的博客
04-25 1433
Nodejs实现CSRF防护 一、CSRF攻击简介 CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。如下:其Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User...
node-978-1-8005-6963-8:Node.js API Masterclass with Express 和 MongoDB [视频]
05-30
标题 "Node.js API Masterclass with Express 和 MongoDB [视频]" 提供了一个高级的IT主题,它聚焦于使用Node.jsExpress框架以及MongoDB数据库来构建APIs。这是一门全面的课程,旨在帮助开发者掌握现代Web开发的...
photos:使用node.js的照片应用
03-05
标题的“photos:使用node.js的照片应用”表明我们要讨论的是一个使用Node.js开发的用于处理照片的应用程序。Node.js是一个基于Chrome V8引擎的JavaScript运行环境,它允许开发者使用JavaScript进行服务器端编程,...
nodejs-server-examples:《从零构造Node.js企业级Web服务器》文章
03-23
Express框架应运而生,它是Node.js最流行的Web应用框架,提供了丰富的功能和简洁的API。 安装Express非常简单,只需在项目运行`npm install express`。以下是一个基础的Express服务器示例: ```javascript ...
NodeJs 第二十四章 CSRF攻击和防御
aXin_li的博客
02-21 843
跨站请求伪造是一种攻击,它迫使最终用户在其当前经过身份验证的 Web 应用程序上执行不需要的操作,例如转移资金、更改电子邮件地址等。例如,这些非预期请求可能是通过在跳转链接后的 URL 加入恶意参数来完成:对于在 https://www.baidu.com 有权限的用户,这个标签会在他们根本注意不到的情况下对 https://www.baidu.com 执行这个操作,即使这个标签根本不在 https://www.baidu.com 内亦可。:恶意网站把作为,通过模拟正常用户的操作,攻击其的站点。
一个express老系统csrf漏洞修复
weixin_34138139的博客
04-10 363
一个运行快两年的express框架web系统,被安全部门审核存在csrf漏洞,项目使用的前后端分离的形式,所有功能操作,通过ajax调用后端接口来完成,查了很多资料,一个基本的防御思想就是验证随机数了,为什么随机数就可以实现csrf的防御呢?本文将针对该问题进行分解 什么是csrf csrf(跨站请求伪造)是一种网络攻击方式,怎么实现这种...
防范CSRF跨站请求伪造-Node.js实例
星之空
06-22 611
Anti CSRF Node Example 文章目录Anti CSRF Node ExampleGet StartedChange DetailsNew Express ProjectImport csurfGenerate CSRF TokenCustom Error HandlingSend Back CSRF TokenReference https://github.com/prufen...
理解CSRF(跨站请求伪造)
10-21 180
理解CSRF(跨站请求伪造) 原文出处Understanding CSRF 对于Express团队的csrf模块和csurf模块的加密函数的用法我们经常有一些在意。 这些在意是莫须有的,因为他们不了解CSRF token是如何工作的。 下面快速过一遍! 读过后还有疑问?希望告诉我们错误?请开一个issue! 一个CSRF攻击是如何工作的? 在他们的钓鱼站点,攻击者可以通...
node csrf 防御 待续
weixin_30682127的博客
03-09 107
csrf 防御 token 与 ajax 主要是在cookie添加随机数, 因为攻击者 无法访问第三方网站的 cookie, 加上httponly, 即使是xss也无法访问了 也可以在页面上嵌入一个 token , 而且token每次提交完后都变化 另外易用性不太好, 可以通过手机验证码 , 或者输入图片验证码防止 说明 1. Token可以放在cook...
CSRF 攻击的应对之道
sarck3的专栏
02-12 1084
简介: CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。然而,该攻击方式并不为大家所熟知,很多网站都有 CSRF 的安全漏洞。本文首先介绍 CSRF 的基本原理与其危害性,然后就目前常用的几种防御方法进行分析
HttpClient 调用远程服务,POST 请求 ,x-csrf-token验证失败,报CSRF token validation failed 问题解决
热门推荐
yinyulong123的博客
04-17 1万+
首先通过 HttpGet 来获取x-csrf-token,代码如下:HttpGet httpget = new HttpGet(url); httpget.setHeader("Content-Type", "application/x-www-form-urlencoded;charset=UTF-8"); httpget.setHeader("Authorization", code); ht...
Error: invalid csrf token
renpinghao的专栏
04-08 1万+
版权所有:一介布衣  原文地址:http://yijiebuyi.com/blog/74528e6546834ebfec47daf4e222d621.html  无特别说明均为原创,欢迎各种形式转载,转载请保留此段申明。 当你的Express 升级到4.0+版本后,有没有遇到过下面这个问题. {    [Error: invalid csrf token]   expo
基于express框架的Token实现方案
致我那些年搬过的砖
05-10 2338
https://www.cnblogs.com/hlere/p/6668159.html?utm_source=itdadao&utm_medium=referral
Node.js实战:最终版
Node.js是一个基于Chrome V8引擎的JavaScript运行环境,它允许开发者使用JavaScript进行服务器端编程,打破了JavaScript只能在浏览器运行的传统。这本书针对的是想要学习或已经使用Node.js进行开发的读者,无论你...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值