1. Trước hết
Các cuộc tấn công vũ phu là một mối đe dọa bảo mật phổ biến trong thế giới phát triển web. Đây là một phương pháp thử tất cả các tổ hợp ký tự để bẻ khóa mật khẩu hoặc giành quyền truy cập vào một khu vực hạn chế. Bài viết này cung cấp hướng dẫn toàn diện để bảo vệ ứng dụng Node.js Express của bạn khỏi các cuộc tấn công vũ phu.
1.1 Tấn công vũ phu là gì?
Tấn công vét cạn là phương pháp mà kẻ tấn công cố gắng giành quyền truy cập trái phép vào hệ thống bằng cách thử lần lượt tất cả các kết hợp tên người dùng và mật khẩu với mục tiêu tìm đúng. Kiểu tấn công này có thể tốn nhiều thời gian và tài nguyên, nhưng có thể thành công nếu hệ thống mục tiêu thiếu các biện pháp bảo mật thích hợp.
1.2 Tổng quan về Node.js Express
Node.js Express là một khung ứng dụng web phổ biến để xây dựng các ứng dụng có thể mở rộng và bảo trì. Bằng cách cung cấp một lớp trừu tượng trên các mô-đun HTTP Node.js gốc, nó đơn giản hóa quá trình phát triển và cho phép bạn tạo các ứng dụng mạnh mẽ với mã tối thiểu.
2. Xác định các cuộc tấn công Brute Force
Để bảo vệ ứng dụng của bạn khỏi các cuộc tấn công vũ phu, trước tiên bạn phải xác định các dấu hiệu cho thấy một cuộc tấn công đang diễn ra. Dưới đây là một số chỉ số chung.
2.1 Số lần đăng nhập không thành công cao hơn bình thường
Số lần đăng nhập không thành công tăng đột ngột có thể cho thấy một cuộc tấn công vũ phu. Bạn có thể xác định loại hoạt động này bằng cách giám sát các lần đăng nhập và đặt cảnh báo.
2.2 Mẫu yêu cầu đáng ngờ
Những kẻ tấn công vũ phu thường sử dụng các tập lệnh tự động để gửi yêu cầu nhanh chóng. Các mẫu yêu cầu bất thường, chẳng hạn như lưu lượng truy cập tăng đột biến hoặc yêu cầu từ một địa chỉ IP duy nhất, có thể là dấu hiệu của một cuộc tấn công vũ phu.
2.3 Danh tiếng địa chỉ IP
Những kẻ tấn công đôi khi sử dụng các địa chỉ IP được biết đến với hoạt động độc hại. Bằng cách giám sát và chặn lưu lượng truy cập từ các IP đó, bạn có thể bảo vệ ứng dụng của mình khỏi các cuộc tấn công vũ phu.
3. Thực hiện biện pháp bảo đảm
Để bảo vệ ứng dụng Node.js Express của bạn khỏi các cuộc tấn công vũ phu, bạn nên triển khai nhiều biện pháp bảo mật khác nhau. Chúng tôi mô tả các kỹ thuật sau:
3.1 Giới hạn tỷ lệ
Giới hạn tốc độ ngăn các tập lệnh tự động áp đảo máy chủ với các yêu cầu, tiêu tốn tài nguyên và tấn công vũ phu thành công bằng cách giới hạn số lượng yêu cầu mà khách hàng có thể gửi trong một khoảng thời gian nhất định.
3.1.1 Phần mềm trung gian giới hạn tốc độ nhanh
Express-rate-limit là phần mềm trung gian cho phép giới hạn tốc độ cho Express. Cài đặt gói để sử dụng nó.
1 2 | <span class="token function">npm</span> <span class="token function">install</span> express-rate-limit |
Sau đó cấu hình và áp dụng cho ứng dụng của bạn.
1 2 3 4 5 6 7 8 9 | <span class="token keyword">const</span> rateLimit <span class="token operator">=</span> <span class="token function">require</span> <span class="token punctuation">(</span> <span class="token string">'express-rate-limit'</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span> <span class="token keyword">const</span> limiter <span class="token operator">=</span> <span class="token function">rateLimit</span> <span class="token punctuation">(</span> <span class="token punctuation">{</span> windowMs <span class="token operator">:</span> <span class="token number">15</span> <span class="token operator">*</span> <span class="token number">60</span> <span class="token operator">*</span> <span class="token number">1000</span> <span class="token punctuation">,</span> <span class="token comment">// 15分</span> max <span class="token operator">:</span> <span class="token number">100</span> <span class="token punctuation">,</span> <span class="token comment">// 各IPをwindowMsごとに100リクエストに制限</span> <span class="token punctuation">}</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span> app <span class="token punctuation">.</span> <span class="token function">use</span> <span class="token punctuation">(</span> limiter <span class="token punctuation">)</span> <span class="token punctuation">;</span> |
Điều chỉnh các tùy chọn windowMs và max cho phù hợp với nhu cầu của ứng dụng của bạn.
3.2 Chụp
Captcha phân biệt con người với bot bằng cách thách thức người dùng xác định các đối tượng trong hình ảnh hoặc giải các bài toán đơn giản. Điều này gây khó khăn cho những kẻ tấn công sử dụng các tập lệnh tự động trong các cuộc tấn công vũ phu.
3.2.1 Triển khai Google reCAPTCHA
Dịch vụ reCAPTCHA của Google là một giải pháp captcha phổ biến. Thực hiện theo các bước bên dưới để triển khai nó trong ứng dụng Node.js Express của bạn.
- Đăng ký ứng dụng của bạn trên trang web reCAPTCHA và nhận khóa API.
- Cài đặt gói google-recaptcha.
1 2 | <span class="token function">npm</span> <span class="token function">install</span> google-recaptcha |
- Thêm mã phía máy khách vào biểu mẫu đăng nhập.
1 2 3 4 5 6 7 8 9 10 11 | <span class="token tag"><span class="token tag"><span class="token punctuation"><</span> head</span> <span class="token punctuation">></span></span> <span class="token tag"><span class="token tag"><span class="token punctuation"><</span> script</span> <span class="token attr-name">src</span> <span class="token attr-value"><span class="token punctuation attr-equals">=</span> <span class="token punctuation">"</span> https://www.google.com/recaptcha/api.js <span class="token punctuation">"</span></span> <span class="token attr-name">async</span> <span class="token attr-name">defer</span> <span class="token punctuation">></span></span> <span class="token tag"><span class="token tag"><span class="token punctuation"></</span> script</span> <span class="token punctuation">></span></span> <span class="token tag"><span class="token tag"><span class="token punctuation"></</span> head</span> <span class="token punctuation">></span></span> <span class="token tag"><span class="token tag"><span class="token punctuation"><</span> body</span> <span class="token punctuation">></span></span> <span class="token tag"><span class="token tag"><span class="token punctuation"><</span> form</span> <span class="token punctuation">></span></span> <span class="token comment"><!-- フォームフィールド --></span> <span class="token tag"><span class="token tag"><span class="token punctuation"><</span> div</span> <span class="token attr-name">class</span> <span class="token attr-value"><span class="token punctuation attr-equals">=</span> <span class="token punctuation">"</span> g-recaptcha <span class="token punctuation">"</span></span> <span class="token attr-name">data-sitekey</span> <span class="token attr-value"><span class="token punctuation attr-equals">=</span> <span class="token punctuation">"</span> YOUR_SITE_KEY <span class="token punctuation">"</span></span> <span class="token punctuation">></span></span> <span class="token tag"><span class="token tag"><span class="token punctuation"></</span> div</span> <span class="token punctuation">></span></span> <span class="token tag"><span class="token tag"><span class="token punctuation"><</span> button</span> <span class="token attr-name">type</span> <span class="token attr-value"><span class="token punctuation attr-equals">=</span> <span class="token punctuation">"</span> submit <span class="token punctuation">"</span></span> <span class="token punctuation">></span></span>送信<span class="token tag"><span class="token tag"><span class="token punctuation"></</span> button</span> <span class="token punctuation">></span></span> <span class="token tag"><span class="token tag"><span class="token punctuation"></</span> form</span> <span class="token punctuation">></span></span> <span class="token tag"><span class="token tag"><span class="token punctuation"></</span> body</span> <span class="token punctuation">></span></span> |
- Xác thực phản hồi reCAPTCHA ở phía máy chủ.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 | <span class="token keyword">const</span> GoogleRecaptcha <span class="token operator">=</span> <span class="token function">require</span> <span class="token punctuation">(</span> <span class="token string">'google-recaptcha'</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span> <span class="token keyword">const</span> recaptcha <span class="token operator">=</span> <span class="token keyword">new</span> <span class="token class-name">GoogleRecaptcha</span> <span class="token punctuation">(</span> <span class="token punctuation">{</span> secret <span class="token operator">:</span> <span class="token string">'YOUR_SECRET_KEY'</span> <span class="token punctuation">}</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span> app <span class="token punctuation">.</span> <span class="token function">post</span> <span class="token punctuation">(</span> <span class="token string">'/login'</span> <span class="token punctuation">,</span> <span class="token punctuation">(</span> <span class="token parameter">req <span class="token punctuation">,</span> res</span> <span class="token punctuation">)</span> <span class="token operator">=></span> <span class="token punctuation">{</span> <span class="token keyword">const</span> recaptchaResponse <span class="token operator">=</span> req <span class="token punctuation">.</span> body <span class="token punctuation">[</span> <span class="token string">'g-recaptcha-response'</span> <span class="token punctuation">]</span> <span class="token punctuation">;</span> recaptcha <span class="token punctuation">.</span> <span class="token function">verify</span> <span class="token punctuation">(</span> <span class="token punctuation">{</span> response <span class="token operator">:</span> recaptchaResponse <span class="token punctuation">}</span> <span class="token punctuation">,</span> <span class="token punctuation">(</span> <span class="token parameter">error</span> <span class="token punctuation">)</span> <span class="token operator">=></span> <span class="token punctuation">{</span> <span class="token keyword">if</span> <span class="token punctuation">(</span> error <span class="token punctuation">)</span> <span class="token punctuation">{</span> <span class="token comment">// 無効または期限切れのreCAPTCHA応答</span> res <span class="token punctuation">.</span> <span class="token function">status</span> <span class="token punctuation">(</span> <span class="token number">400</span> <span class="token punctuation">)</span> <span class="token punctuation">.</span> <span class="token function">json</span> <span class="token punctuation">(</span> <span class="token punctuation">{</span> error <span class="token operator">:</span> <span class="token string">'無効なキャプチャ'</span> <span class="token punctuation">}</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span> <span class="token punctuation">}</span> <span class="token keyword">else</span> <span class="token punctuation">{</span> <span class="token comment">// ログインロジックを続ける</span> <span class="token punctuation">}</span> <span class="token punctuation">}</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span> <span class="token punctuation">}</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span> |
3.3 Khóa tài khoản
Khóa tài khoản sau một số lần đăng nhập không thành công cũng là một biện pháp đối phó hiệu quả trước các cuộc tấn công vũ phu. Tuy nhiên, điều quan trọng là phải đạt được sự cân bằng giữa bảo mật và tiện lợi, và việc khóa quá mức có thể gây bất tiện cho người dùng hợp pháp.
3.3.1 Thực hiện khóa tài khoản
Việc triển khai khóa tài khoản yêu cầu theo dõi số lần đăng nhập của mỗi người dùng. Cân nhắc sử dụng cơ sở dữ liệu hoặc kho lưu trữ trong bộ nhớ như Redis cho mục đích này. Dưới đây là một ví dụ sử dụng Redis.
- Cài đặt gói redis.
1 2 | <span class="token function">npm</span> <span class="token function">install</span> redis |
- Định cấu hình Redis để theo dõi các lần đăng nhập không thành công.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 | <span class="token keyword">const</span> redis <span class="token operator">=</span> <span class="token function">require</span> <span class="token punctuation">(</span> <span class="token string">'redis'</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span> <span class="token keyword">const</span> client <span class="token operator">=</span> redis <span class="token punctuation">.</span> <span class="token function">createClient</span> <span class="token punctuation">(</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span> app <span class="token punctuation">.</span> <span class="token function">post</span> <span class="token punctuation">(</span> <span class="token string">'/login'</span> <span class="token punctuation">,</span> <span class="token punctuation">(</span> <span class="token parameter">req <span class="token punctuation">,</span> res</span> <span class="token punctuation">)</span> <span class="token operator">=></span> <span class="token punctuation">{</span> <span class="token keyword">const</span> <span class="token punctuation">{</span> username <span class="token punctuation">,</span> password <span class="token punctuation">}</span> <span class="token operator">=</span> req <span class="token punctuation">.</span> body <span class="token punctuation">;</span> <span class="token comment">// アカウントがロックされているかどうかを確認します。</span> client <span class="token punctuation">.</span> <span class="token function">get</span> <span class="token punctuation">(</span> lockout <span class="token operator">:</span> $ <span class="token punctuation">{</span> username <span class="token punctuation">}</span> <span class="token punctuation">,</span> <span class="token punctuation">(</span> <span class="token parameter">err <span class="token punctuation">,</span> lockout</span> <span class="token punctuation">)</span> <span class="token operator">=></span> <span class="token punctuation">{</span> <span class="token keyword">if</span> <span class="token punctuation">(</span> lockout <span class="token punctuation">)</span> <span class="token punctuation">{</span> <span class="token keyword">return</span> res <span class="token punctuation">.</span> <span class="token function">status</span> <span class="token punctuation">(</span> <span class="token number">429</span> <span class="token punctuation">)</span> <span class="token punctuation">.</span> <span class="token function">json</span> <span class="token punctuation">(</span> <span class="token punctuation">{</span> error <span class="token operator">:</span> <span class="token string">'アカウントがロックされています'</span> <span class="token punctuation">}</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span> <span class="token punctuation">}</span> <span class="token comment">// 資格情報を確認します。</span> <span class="token function">authenticate</span> <span class="token punctuation">(</span> username <span class="token punctuation">,</span> password <span class="token punctuation">,</span> <span class="token punctuation">(</span> <span class="token parameter">err <span class="token punctuation">,</span> success</span> <span class="token punctuation">)</span> <span class="token operator">=></span> <span class="token punctuation">{</span> <span class="token keyword">if</span> <span class="token punctuation">(</span> success <span class="token punctuation">)</span> <span class="token punctuation">{</span> <span class="token comment">// 失敗したログイン試行カウンタをリセットします。</span> client <span class="token punctuation">.</span> <span class="token function">del</span> <span class="token punctuation">(</span> <span class="token template-string"><span class="token template-punctuation string">`</span> <span class="token string">failed:</span> <span class="token interpolation"><span class="token interpolation-punctuation punctuation">${</span> username <span class="token interpolation-punctuation punctuation">}</span></span> <span class="token template-punctuation string">`</span></span> <span class="token punctuation">)</span> <span class="token punctuation">;</span> <span class="token comment">// ログインロジックを続けます。</span> <span class="token punctuation">}</span> <span class="token keyword">else</span> <span class="token punctuation">{</span> <span class="token comment">// 失敗したログイン試行カウンタを増やします。</span> client <span class="token punctuation">.</span> <span class="token function">incr</span> <span class="token punctuation">(</span> <span class="token template-string"><span class="token template-punctuation string">`</span> <span class="token string">failed:</span> <span class="token interpolation"><span class="token interpolation-punctuation punctuation">${</span> username <span class="token interpolation-punctuation punctuation">}</span></span> <span class="token template-punctuation string">`</span></span> <span class="token punctuation">)</span> <span class="token punctuation">;</span> <span class="token comment">// 制限に達しているかどうかを確認します。</span> client <span class="token punctuation">.</span> <span class="token function">get</span> <span class="token punctuation">(</span> <span class="token template-string"><span class="token template-punctuation string">`</span> <span class="token string">failed:</span> <span class="token interpolation"><span class="token interpolation-punctuation punctuation">${</span> username <span class="token interpolation-punctuation punctuation">}</span></span> <span class="token template-punctuation string">`</span></span> <span class="token punctuation">,</span> <span class="token punctuation">(</span> <span class="token parameter">err <span class="token punctuation">,</span> attempts</span> <span class="token punctuation">)</span> <span class="token operator">=></span> <span class="token punctuation">{</span> <span class="token keyword">if</span> <span class="token punctuation">(</span> attempts <span class="token operator">>=</span> <span class="token number">5</span> <span class="token punctuation">)</span> <span class="token punctuation">{</span> <span class="token comment">// 30分間アカウントをロックします。</span> client <span class="token punctuation">.</span> <span class="token function">setex</span> <span class="token punctuation">(</span> <span class="token template-string"><span class="token template-punctuation string">`</span> <span class="token string">lockout:</span> <span class="token interpolation"><span class="token interpolation-punctuation punctuation">${</span> username <span class="token interpolation-punctuation punctuation">}</span></span> <span class="token template-punctuation string">`</span></span> <span class="token punctuation">,</span> <span class="token number">30</span> <span class="token operator">*</span> <span class="token number">60</span> <span class="token punctuation">,</span> <span class="token number">1</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span> <span class="token punctuation">}</span> <span class="token punctuation">}</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span> res <span class="token punctuation">.</span> <span class="token function">status</span> <span class="token punctuation">(</span> <span class="token number">401</span> <span class="token punctuation">)</span> <span class="token punctuation">.</span> <span class="token function">json</span> <span class="token punctuation">(</span> <span class="token punctuation">{</span> error <span class="token operator">:</span> <span class="token string">'無効な資格情報'</span> <span class="token punctuation">}</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span> <span class="token punctuation">}</span> <span class="token punctuation">}</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span> <span class="token punctuation">}</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span> <span class="token punctuation">}</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span> |
Điều chỉnh thời lượng khóa và số lần thử không thành công tối đa nếu cần.
bản tóm tắt
Bảo vệ ứng dụng Node.js Express của bạn trước các cuộc tấn công vũ phu là rất quan trọng để đảm bảo tính bảo mật và tính toàn vẹn của hệ thống của bạn. Bằng cách thực hiện các biện pháp bảo mật như giới hạn tỷ lệ, hình ảnh xác thực và khóa tài khoản, nguy cơ truy cập trái phép có thể giảm đáng kể. Luôn thận trọng và cập nhật các ứng dụng của bạn theo các biện pháp bảo mật mới nhất để cung cấp cho người dùng của bạn một môi trường an toàn và bảo mật.
cuối cùng
Tôi luôn mắc nợ. Tôi hy vọng bạn thích bài viết này và học được một cái gì đó mới.
Hẹn gặp lại các bạn trong bài viết tiếp theo! Nếu bạn thích bài viết này, hãy nhấn “THÍCH” và đăng ký để ủng hộ tôi. Cảm ơn rất nhiều.