以下是基于OWASP Top 10对这段JavaScript/Express代码的安全审查与加固建议,重点覆盖SQL注入与权限绕过,同时包含其他显著安全问题与修复方案。
主要问题与风险
- A03: 注入(SQL注入)
- 登录SQL使用字符串拼接:SELECT ... WHERE username='${username}' AND password='${password}',可被构造输入注入。
- 使用数据库root账户,权限过大,一旦注入成功影响范围极大。
- 明文密码对比(数据库中存储明文密码),即使后续防注入,仍属于严重的身份认证缺陷。
- A01: 访问控制缺陷(权限绕过)
- /admin使用jwt.decode而非jwt.verify,未进行签名验证,攻击者可自造token并填充role=admin直接绕过。
- /profile忽略过期时间(ignoreExpiration: true),长期有效的过期令牌可继续使用。
- 接收token通过URL查询参数,易在日志、Referer、浏览器历史记录中泄露,导致会话劫持。
- A07: 识别与认证失败
- JWT使用硬编码弱密钥"secret",易被猜测或泄露。
- 登录流程未实施速率限制与账户锁定,易被暴力破解。
- 未设定JWT的exp/iat/iss/aud等关键声明与校验,存在令牌滥用与混用风险。
- A02: 加密失败
- 明文密码存储与对比;JWT密钥管理不当;未限制允许的算法。
- A05: 安全配置错误
- 数据库以root/root连接,未使用最小权限账户;密钥与凭证硬编码在源代码中。
- 其他
- 输入未校验(长度/字符集),增加注入与DoS风险。
- 错误处理不一致,可能导致信息泄露或用户枚举(虽然当前返回较“朴素”,但仍建议统一消息)。
可操作的修复与安全编码实践
- 消除SQL注入、加固密码处理
- 使用参数化查询/预编译语句,不要拼接字符串。
- 将密码存储为强哈希(如bcrypt,推荐成本系数10-12),登录时使用bcrypt.compare。
- 使用最小权限的数据库用户,仅允许SELECT/必要操作;不要使用root。
- 对输入进行白名单校验与长度限制。
示例修复(使用mysql2与bcrypt):
const express = require('express');
const mysql2 = require('mysql2/promise');
const bcrypt = require('bcrypt');
const jwt = require('jsonwebtoken');
const app = express();
app.use(express.json());
const pool = mysql2.createPool({
host: process.env.DB_HOST,
user: process.env.DB_USER, // 使用最小权限账户
password: process.env.DB_PASS,
database: process.env.DB_NAME,
connectionLimit: 10,
ssl: process.env.DB_SSL === 'true' ? { rejectUnauthorized: true } : undefined
});
function validateLoginInput(username, password) {
if (typeof username !== 'string' || typeof password !== 'string') return false;
if (username.length < 3 || username.length > 64) return false;
if (password.length < 8 || password.length > 128) return false;
return true;
}
app.post('/login', async (req, res) => {
try {
const { username, password } = req.body;
if (!validateLoginInput(username, password)) return res.status(400).send('invalid');
const [rows] = await pool.execute(
'SELECT id, username, role, password_hash FROM users WHERE username = ? LIMIT 1',
[username]
);
if (!rows.length) return res.status(401).send('invalid');
const user = rows[0];
const ok = await bcrypt.compare(password, user.password_hash);
if (!ok) return res.status(401).send('invalid');
const token = jwt.sign(
{ sub: user.id, role: user.role },
process.env.JWT_SECRET,
{
algorithm: 'HS256',
expiresIn: '15m', // 设置短期有效期
issuer: 'your-app',
audience: 'your-app-api'
}
);
res.json({ token });
} catch (e) {
res.status(500).send('error');
}
});
- 正确验证JWT、避免权限绕过
- 始终使用jwt.verify进行签名和声明校验,不使用jwt.decode做授权判断。
- 不接受token通过查询参数;统一从Authorization: Bearer 头读取。
- 禁止ignoreExpiration;严格校验exp、iss、aud、iat;限制允许算法algorithms: ['HS256']或使用RS256并配置密钥轮换。
- 为高权限操作(如admin),建议在验证令牌后再次查询数据库确认当前角色(防止令牌中的角色过期或被撤销)。
示例修复:
function getTokenFromHeader(req) {
const h = req.headers.authorization || '';
if (!h.startsWith('Bearer ')) return null;
return h.slice(7);
}
app.get('/profile', (req, res) => {
try {
const token = getTokenFromHeader(req);
if (!token) return res.status(401).send('unauthorized');
const decoded = jwt.verify(token, process.env.JWT_SECRET, {
algorithms: ['HS256'],
issuer: 'your-app',
audience: 'your-app-api'
});
res.json({ userId: decoded.sub, role: decoded.role });
} catch (e) {
res.status(401).send('unauthorized');
}
});
app.get('/admin', async (req, res) => {
try {
const token = getTokenFromHeader(req);
if (!token) return res.status(401).send('unauthorized');
const decoded = jwt.verify(token, process.env.JWT_SECRET, {
algorithms: ['HS256'],
issuer: 'your-app',
audience: 'your-app-api'
});
const [rows] = await pool.execute('SELECT role FROM users WHERE id = ? LIMIT 1', [decoded.sub]);
if (rows.length && rows[0].role === 'admin') {
return res.send('admin ok');
}
return res.status(403).send('forbidden');
} catch (e) {
res.status(401).send('unauthorized');
}
});
- 密钥与配置管理
- 将JWT密钥、数据库凭证放入环境变量或秘密管理服务,不要硬编码。
- 使用高熵密钥(至少256位随机),定期轮换;考虑使用RS256并配合JWKS进行密钥管理。
- 在jwt.verify中明确限制algorithms,防止算法降级或混淆。
- 身份验证与会话安全强化
- 实施登录速率限制与账户锁定(如express-rate-limit),防暴力破解。
- 统一、最小化错误消息,避免用户枚举(登录失败始终返回“invalid”)。
- 使用短期访问令牌与刷新令牌机制;撤销策略(黑名单/jti),对高权限操作更严格。
- 输入校验与通用安全加固
- 对所有外部输入进行长度与格式校验;使用库如 joi/validator。
- 全局安全中间件:helmet、严格的CORS策略。
- 审计日志记录安全事件(失败登录、权限拒绝),但避免记录敏感数据(令牌、密码)。
- 数据库连接使用TLS(如RDS或支持SSL的MySQL),并限制网络访问。
- 采用最小权限原则:API进程、数据库用户、服务器文件权限。
与OWASP Top 10的映射
- A03: 注入 → 采用参数化查询、输入校验。
- A01: 访问控制缺陷 → 始终verify JWT、禁止query传token、强制声明校验与后端RBAC复核。
- A07: 识别与认证失败 → 密码哈希、速率限制、短期令牌与刷新机制。
- A02: 加密失败 → 强密钥、算法限制、密钥管理与轮换。
- A05: 安全配置错误 → 禁止硬编码凭证、使用最小权限与安全默认配置。
结论
当前代码存在高风险的SQL注入与权限绕过问题,攻击者可通过构造输入获取数据库权限或伪造令牌提升为管理员。请按上述步骤进行参数化查询、密码哈希、严格JWT验证与密钥管理,并补充速率限制、输入校验和最小权限配置,以显著提升整体安全性。
