如何使用NodeSecurityShield保障NodeJS应用程序安全

admin 2022年6月29日14:16:20评论28 views字数 2048阅读6分49秒阅读模式

 关于NodeSecurityShield 

NodeSecurityShield简称为NSS,是一款对开发人员和安全工程师十分友好的安全工具,该工具旨在帮助广大开发人员更好地保护NodeJS应用程序的安全。

该工具受到了log4J漏洞(CVE-2021-44228)的启发,一旦应用程序可以进行任意网络调用,那么攻击者就有可能利用该漏洞来实施入侵攻击。因此,我们认为有必要让应用程序声明它可以拥有哪些权限,以便增加这些漏洞的利用难度。为了实现这个目标,NodeSecurityShield实现了自己的资源访问策略。

 功能介绍 

攻击监控:带外网络调用

攻击屏蔽:带外网络调用

  资源访问策略(RAP)

该工具所实现的资源访问策略类似于内容安全策略(CSP)。

NodeSecurityShield将允许开发人员/安全工程师声明应用程序应该访问哪些资源,NodeSecurityShield也将强制执行其资源访问策略(RAP)。

 工具安装 

该工具主要针对的是NodeJS应用程序,因此我们首先要在本地设备上安装并配置好NodeJS环境。接下来,使用npm命令直接下载和安装NodeSecurityShield即可:

npm install nodesecurityshield

 工具使用 

// 使用require引入'nodesecurityshield'
let nodeSecurityShield = require('nodesecurityshield');


// 启用攻击监控或屏蔽功能
nodeSecurityShield.enableAttackMonitoring(resourceAccessPolicy ,callbackFunction);

 资源访问策略(RAP)样例 

const resourceAccessPolicy  = {
"outBoundRequest" : {
"blockedDomains" : ["*.123.com", "stats.abc.com", 'xyz.com'],
"allowedDomains" : ["*.domdog.io"]
}
};

注意,blockedDomains的优先级高于allowedDomains,比如说,工具首先会根据blockedDomains检查请求,然后再根据allowedDomains检查请求。

callbackFunction样例(攻击屏蔽)

var callbackFunction = function (violationEvent) {
throw new Error("Request Blocked. It violates declared Resource Access Policy.")
}

violationEvent样例

{
"violationtType": "Outbound Request",
"message": "Outbound request to 'www.malicious.com' violates declared 'Resource Access Policy (RAP)'.",
"policy": {
"outBoundRequest" : {
"blockedDomains" : ["*.123.com", "stats.abc.com", 'xyz.com'],
"allowedDomains" : ["*.domdog.io"]
}
}

 结合Sentry使用 

结合Sentry的resourceAccessPolicyto样例

const resourceAccessPolicy  = {
"reportUriHosts" : ["ingest.sentry.io"],
"outBoundRequest" : {
"blockedDomains" : ["*.123.com", "stats.abc.com", 'xyz.com'],
"allowedDomains" : ["*.domdog.io"]
}
};

如何使用NodeSecurityShield保障NodeJS应用程序安全

结合Sentry的callbackFunction样例

var callbackFunction = function (violationEvent) {


var e = new Error();
e.name = 'Resource Access Policy Violation';
e.message = JSON.stringify(violationEvent);
Sentry.captureException(e);


}

如何使用NodeSecurityShield保障NodeJS应用程序安全

许可证协议

该项目的开发与发布遵循Apache-2.0开源许可证协议。

项目地址

https://github.com/DomdogSec/NodeSecurityShield

参考资料

https://nvd.nist.gov/vuln/detail/CVE-2021-44228

https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP

https://sentry.io/

如何使用NodeSecurityShield保障NodeJS应用程序安全



精彩推荐






如何使用NodeSecurityShield保障NodeJS应用程序安全

如何使用NodeSecurityShield保障NodeJS应用程序安全
如何使用NodeSecurityShield保障NodeJS应用程序安全
如何使用NodeSecurityShield保障NodeJS应用程序安全

原文始发于微信公众号(FreeBuf):如何使用NodeSecurityShield保障NodeJS应用程序安全

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月29日14:16:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   如何使用NodeSecurityShield保障NodeJS应用程序安全https://cn-sec.com/archives/1136991.html

发表评论

匿名网友 填写信息