如何使用NodeSecurityShield保障NodeJS应用程序安全

admin 2022年6月29日14:16:20未分类评论3 views2048字阅读6分49秒阅读模式

 关于NodeSecurityShield 

NodeSecurityShield简称为NSS,是一款对开发人员和安全工程师十分友好的安全工具,该工具旨在帮助广大开发人员更好地保护NodeJS应用程序的安全。

该工具受到了log4J漏洞(CVE-2021-44228)的启发,一旦应用程序可以进行任意网络调用,那么攻击者就有可能利用该漏洞来实施入侵攻击。因此,我们认为有必要让应用程序声明它可以拥有哪些权限,以便增加这些漏洞的利用难度。为了实现这个目标,NodeSecurityShield实现了自己的资源访问策略。

 功能介绍 

攻击监控:带外网络调用

攻击屏蔽:带外网络调用

  资源访问策略(RAP)

该工具所实现的资源访问策略类似于内容安全策略(CSP)。

NodeSecurityShield将允许开发人员/安全工程师声明应用程序应该访问哪些资源,NodeSecurityShield也将强制执行其资源访问策略(RAP)。

 工具安装 

该工具主要针对的是NodeJS应用程序,因此我们首先要在本地设备上安装并配置好NodeJS环境。接下来,使用npm命令直接下载和安装NodeSecurityShield即可:

npm install nodesecurityshield

 工具使用 

// 使用require引入'nodesecurityshield'
let nodeSecurityShield = require('nodesecurityshield');


// 启用攻击监控或屏蔽功能
nodeSecurityShield.enableAttackMonitoring(resourceAccessPolicy ,callbackFunction);

 资源访问策略(RAP)样例 

const resourceAccessPolicy  = {
"outBoundRequest" : {
"blockedDomains" : ["*.123.com", "stats.abc.com", 'xyz.com'],
"allowedDomains" : ["*.domdog.io"]
}
};

注意,blockedDomains的优先级高于allowedDomains,比如说,工具首先会根据blockedDomains检查请求,然后再根据allowedDomains检查请求。

callbackFunction样例(攻击屏蔽)

var callbackFunction = function (violationEvent) {
throw new Error("Request Blocked. It violates declared Resource Access Policy.")
}

violationEvent样例

{
"violationtType": "Outbound Request",
"message": "Outbound request to 'www.malicious.com' violates declared 'Resource Access Policy (RAP)'.",
"policy": {
"outBoundRequest" : {
"blockedDomains" : ["*.123.com", "stats.abc.com", 'xyz.com'],
"allowedDomains" : ["*.domdog.io"]
}
}

 结合Sentry使用 

结合Sentry的resourceAccessPolicyto样例

const resourceAccessPolicy  = {
"reportUriHosts" : ["ingest.sentry.io"],
"outBoundRequest" : {
"blockedDomains" : ["*.123.com", "stats.abc.com", 'xyz.com'],
"allowedDomains" : ["*.domdog.io"]
}
};

如何使用NodeSecurityShield保障NodeJS应用程序安全

结合Sentry的callbackFunction样例

var callbackFunction = function (violationEvent) {


var e = new Error();
e.name = 'Resource Access Policy Violation';
e.message = JSON.stringify(violationEvent);
Sentry.captureException(e);


}

如何使用NodeSecurityShield保障NodeJS应用程序安全

许可证协议

该项目的开发与发布遵循Apache-2.0开源许可证协议。

项目地址

https://github.com/DomdogSec/NodeSecurityShield

参考资料

https://nvd.nist.gov/vuln/detail/CVE-2021-44228

https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP

https://sentry.io/

如何使用NodeSecurityShield保障NodeJS应用程序安全



精彩推荐






如何使用NodeSecurityShield保障NodeJS应用程序安全

如何使用NodeSecurityShield保障NodeJS应用程序安全
如何使用NodeSecurityShield保障NodeJS应用程序安全
如何使用NodeSecurityShield保障NodeJS应用程序安全

原文始发于微信公众号(FreeBuf):如何使用NodeSecurityShield保障NodeJS应用程序安全

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月29日14:16:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  如何使用NodeSecurityShield保障NodeJS应用程序安全 http://cn-sec.com/archives/1136991.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: