Quantcast
Channel: Node.jsタグが付けられた新着記事 - Qiita
Viewing all articles
Browse latest Browse all 8832

node.js (Express) でのオープンリダイレクト脆弱性対策

March 2, 2020, 10:43 am
$
0
0

この記事は、WESEEK Tips Wikiに投稿された記事「/Tips/JavaScript/Express/オープンリダイレクト対策」の転載です。

オープンリダイレクトとは?

Express に於けるリダイレクト

Express 4.x API#res.redirect

  • URL パラメータ等、ユーザーが指定可能な文字列をそのままリダイレクトさせるコード書くとセキュリティホールとなる
  • res.redirect('//evil.example.com/path/to/attack')で再現可能
    • -> http://evil.example.com/path/to/attackにリダイレクトされる

過去実際にあった脆弱性

対策

方針

  1. URL をパースし、不正な形式(//evil.example.com等)であればリダイレクトしない
  2. URL が、リクエストのホストと不一致ならリダイレクトしない
  3. URL が、ホワイトリストに入っていなければリダイレクトしない

コード

下記コードは、要求された URL へリダイレクトしない代わりに、サイトトップ(/)へのリダイレクトに振り替えている。

最小の対策(方針1,2まで)

middleware/safe-redirect.js
/**
 * Redirect with prevention from Open Redirect
 *
 * Usage: app.use(require('middleware/safe-redirect')())
 */constlogger=request('path/to/logger');module.exports=()=>{returnfunction(req,res,next){// extend res objectres.safeRedirect=function(redirectTo){if(redirectTo==null){returnres.redirect('/');}try{// check inner redirectconstredirectUrl=newURL(redirectTo,`${req.protocol}://${req.get('host')}`);if(redirectUrl.hostname===req.hostname){logger.debug(`Requested redirect URL (${redirectTo}) is local.`);returnres.redirect(redirectUrl.href);}logger.debug(`Requested redirect URL (${redirectTo}) is NOT local.`);}catch(err){logger.warn(`Requested redirect URL (${redirectTo}) is invalid.`,err);}logger.warn(`Requested redirect URL (${redirectTo}) is UNSAFE, redirecting to root page.`);returnres.redirect('/');};next();};};

利用方法

app.use(require('middleware/safe-redirect')());

ホワイトリスト指定機能付き(方針3まで)

middleware/safe-redirect.js
/**
 * Redirect with prevention from Open Redirect
 *
 * Usage: app.use(require('middleware/safe-redirect')(['example.com', 'some.example.com:8080']))
 */constlogger=request('path/to/logger')('middleware:safe-redirect');/**
 * Check whether the redirect url host is in specified whitelist
 * @param {Array<string>} whitelistOfHosts
 * @param {string} redirectToFqdn
 */functionisInWhitelist(whitelistOfHosts,redirectToFqdn){if(whitelistOfHosts==null||whitelistOfHosts.length===0){returnfalse;}constredirectUrl=newURL(redirectToFqdn);returnwhitelistOfHosts.includes(redirectUrl.hostname)||whitelistOfHosts.includes(redirectUrl.host);}module.exports=(whitelistOfHosts)=>{returnfunction(req,res,next){// extend res objectres.safeRedirect=function(redirectTo){if(redirectTo==null){returnres.redirect('/');}try{// check inner redirectconstredirectUrl=newURL(redirectTo,`${req.protocol}://${req.get('host')}`);if(redirectUrl.hostname===req.hostname){logger.debug(`Requested redirect URL (${redirectTo}) is local.`);returnres.redirect(redirectUrl.href);}logger.debug(`Requested redirect URL (${redirectTo}) is NOT local.`);// check whitelisted redirectconstisWhitelisted=isInWhitelist(whitelistOfHosts,redirectTo);if(isWhitelisted){logger.debug(`Requested redirect URL (${redirectTo}) is in whitelist.`,`whitelist=${whitelistOfHosts}`);returnres.redirect(redirectTo);}logger.debug(`Requested redirect URL (${redirectTo}) is NOT in whitelist.`,`whitelist=${whitelistOfHosts}`);}catch(err){logger.warn(`Requested redirect URL (${redirectTo}) is invalid.`,err);}logger.warn(`Requested redirect URL (${redirectTo}) is UNSAFE, redirecting to root page.`);returnres.redirect('/');};next();};};
Search
Viewing all articles
Browse latest Browse all 8832

Trending Articles

モーツァルト ディヴェルティメント 変ホ長調 K.563 の名盤

December 23, 2017, 2:32 am

井上貴博アナウンサー彼女や結婚の噂は?実家や親が話題?人気は?

September 15, 2013, 1:59 am

Ke Aloha Kalikimakaの歌詞を和訳します

January 9, 2014, 6:10 pm

PaliのLepe `Ula`ulaと歌詞の和訳

July 19, 2012, 7:10 pm

2014年6月6日号 三菱東京UFJ銀行(5月14日付)

June 9, 2014, 1:51 am

LNK2019:未解決の外部シンボル と LNK1120:外部参照 1 が未解決について

October 23, 2005, 9:03 pm

ヴァンパイア・ノーツ 攻略

December 11, 2018, 6:10 am

大阪・泉南イオンで飛び降り自殺とみられる転落事件が発生:ネットで拡散された理由とは

July 15, 2016, 12:05 pm

メールディーラーで受信するアドレスを追加できますか?

July 30, 2019, 1:56 am

Robocopy のエラー (戻り値) について

January 23, 2018, 11:28 pm

林要の結婚や経歴&評判とWikiプロフやLOVOT(ラボット)とグルーブエックス株価は

December 23, 2018, 6:18 am

【極☆寒】「凍った髪」を競い合う『国際ヘア・フリージング・コンテスト』! 寒〜い写真に身震いしつつ過ぎ行く冬にサヨナラだ!!

March 10, 2015, 2:00 pm

滋賀の部落(同和地区)一覧

March 24, 2010, 6:39 am

【銃刀法違反】吉田総業組長代行 恩田達志容疑者を再逮捕

November 17, 2016, 6:39 pm

和歌山県代表決まる 都道府県対抗中学バレー

September 10, 2013, 2:00 am

大浦街道で重体事故

August 31, 2016, 1:35 am

【世界大学ランキング】 第1位にジュリアード音楽院とウィーン国立音大、日本勢は?

August 23, 2019, 1:32 am

【対策済】「SKYSEA Client View」のアップデートに失敗する問題についてのお知らせ

December 27, 2007, 7:00 am

Lahaina Lunaの歌詞を和訳しました

January 14, 2016, 6:10 pm

画像・写真】ららぽーと横浜で16歳男子高校生が転落死 不審な動き→逃走し警備員に追いかけられ→柵越え飛び降り・12m転落 窃盗・万引き?それとも盗撮?

September 17, 2016, 8:50 am
Search