前言

假如你在項(xiàng)目中遇到過 eslint 報(bào)錯(cuò) Potential timing attack ，不可忽視！這是一個(gè)涉及到安全的問題：時(shí)序攻擊。
eslint 報(bào)錯(cuò)原因

首先eslint引入了一個(gè)叫做eslint-plugin-security的插件，這個(gè)插件有助于識(shí)別出潛在的安全問題，但同時(shí)也會(huì)產(chǎn)生誤報(bào)的問題，附上插件 源碼地址。

var keywords = '((' + [
  'password',
  'secret',
  'api',
  'apiKey',
  'token',
  'auth',
  'pass',
  'hash'
 ].join(')|(') + '))';

 var re = new RegExp('^' + keywords + '$', 'im');

 function containsKeyword (node) {
  if (node.type === 'Identifier') {
   if (re.test(node.name)) return true;
  }
  return
 }
 if (node.test.operator === '==' || node.test.operator === '===' || node.test.operator === '!=' || node.test.operator === '!==') {
  // 在這里 console 出錯(cuò)誤
 }

首先這個(gè)插件會(huì)判斷本次的運(yùn)算符是否為 ==、===、！=、！==其中一種，其次檢查標(biāo)識(shí)符（字段名）是否包含特殊字符串password、secret、api、apiKey、token、auth、pass、hash，如果同時(shí)滿足二者情況，eslint 就會(huì)編譯報(bào)錯(cuò) Potential timing attack。

攻擊定義

timing attack：時(shí)序攻擊，屬于側(cè)信道攻擊 / 旁路攻擊，側(cè)信道攻擊指的是利用信道外的信息，比如加解密的數(shù)據(jù)、數(shù)據(jù)比較時(shí)間、密文傳輸?shù)牧髁亢屯緩竭M(jìn)行攻擊的方式，相當(dāng)于是“旁敲側(cè)擊”。

攻擊點(diǎn)

首先講講js比較兩個(gè)字符串大小的原理：

• 判斷字符串長度是否為0，如果為0，就可以直接比較出結(jié)果；反之，進(jìn)入到第二步。
• 字符串是由一個(gè)個(gè)字符組成，通過每個(gè)字符的charCode進(jìn)行比較。
• 在第二步中，只要出現(xiàn)一個(gè)字符不同，就 return false，剩余的字符不再做比較。

單個(gè)字符的比較是很快的，攻擊者可以細(xì)化測量時(shí)間精度到微秒，通過響應(yīng)時(shí)間的差異推算出是從哪一個(gè)字符開始不用的，這樣一次次實(shí)驗(yàn)或者用 Python 寫個(gè)腳本去跑，就可以試出正確的密碼，密碼破解的難度也降低了不少。

容易受攻擊的寫法

if (user.password === password) {
  return { state: true }; // 登錄成功
 }

防御措施

每次不同的輸入會(huì)造成處理時(shí)間的不同。為了防止它，我們需要使字符串比較花費(fèi)相同的時(shí)間量，無論輸入的密碼是什么。
不容易受攻擊的寫法

系統(tǒng)中每一個(gè)密碼的長度是固定的，每次比較密碼是否相同時(shí)，使用正確密碼的長度作為比較次數(shù)，使用異或比較每一個(gè)字符的 Unicode 編碼是否相等，并且把每一次的比較結(jié)果存放到一個(gè)數(shù)組中，最后再判斷數(shù)組的每一個(gè)元素是否為0（為 0 表示兩個(gè)字符相同）。

 // psdReceived 為用戶輸入密碼；
 // psdDb 為系統(tǒng)中存儲(chǔ)的正確用戶密碼
 const correctUser = (psdDb, psdReceived) => {
  const state = [];
  for (let i = 0; i < psdDb.length; ++i) {
   if (!psdReceived[i]) {
    state.push(false);
   } else {
    state.push(psdReceived.charCodeAt(i) ^ psdDb.charCodeAt(i));
   }
  }
  return state.length !== 0 && state.every(item => !item);
 }

三方包推薦

也可以使用 cryptiles 這個(gè) npm 模塊來解決這個(gè)問題

import cryptiles from 'cryptiles';

......
return cryptiles.fixedTimeCimparison(passwordFromDb, passwordReceived);

最新評論