OWASP Top 10の脅威からNode.jsアプリケーションを強化する
Min-jun Kim
Dev Intern · Leapcell
一般的なエクスプロイトに対する回復力のあるNode.jsアプリの構築
今日の相互接続されたデジタルランドスケープにおいて、Webアプリケーションは悪意のある攻撃者の主要な標的となっています。企業もユーザーも同様に、これらのアプリケーションのセキュリティと整合性に大きく依存しています。Node.jsは、そのイベント駆動型アーキテクチャと高性能により、スケーラブルなWebサービスを構築するための人気のある選択肢となっています。しかし、この人気はNode.jsアプリケーションを魅力的な標的にしてもいます。基本的なセキュリティプラクティスを怠ると、データ侵害、金銭的損失、評判の低下など、壊滅的な結果につながる可能性があります。OWASP Top 10は、最も重大なWebアプリケーションセキュリティリスクを特定するための、重要で広く認識されているベンチマークを提供します。開発中にこれらの脆弱性に積極的に対処することで、Node.jsアプリケーションの回復力と信頼性を大幅に向上させることができます。この記事では、インジェクションの脆弱性と不適切なアクセス制御に特に焦点を当て、これらの蔓延する脅威からNode.jsプロジェクトを保護するための実践的な戦略を探ります。
主要なセキュリティ概念の理解
特定の緩和技術を詳しく掘り下げる前に、OWASP Top 10の脆弱性を理解し、対処する上で中心となるいくつかのコアセキュリティ概念を定義しましょう。
- インジェクションの脆弱性(Injection Flaws): 信頼できないデータがコマンドまたはクエリの一部としてインタプリタに送信される場合に発生します。攻撃者の悪意のあるデータは、インタプリタに意図しないコマンドを実行させたり、不正なデータにアクセスさせたりする可能性があります。SQLインジェクション、NoSQLインジェクション、OSコマンドインジェクション、LDAPインジェクションなどが一般的な例です。
- 不適切なアクセス制御(Broken Access Control): ユーザーが意図された権限外の操作を実行できる脆弱性を指します。これには、一般ユーザーが管理者機能にアクセスしたり、他のユーザーの機密データを表示したり、他のユーザーのアカウントを変更したりすることが含まれる場合があります。このような侵害を防ぐためには、適切な承認メカニズムが不可欠です。
- 入力検証(Input Validation): アプリケーションによって処理される前に、ユーザーから提供されたデータが特定のビジネスルールとセキュリティポリシーに準拠していることを確認するプロセスです。これは、さまざまなインジェクション攻撃に対する主要な防御手段です。
- パラメータ化クエリ(Prepared Statements): SQLコードが最初に定義され、その後、値が個別に渡されるデータベースクエリの構築方法です。この分離により、悪意のある入力が実行可能なSQLコードとして解釈されるのを防ぎます。
- 最小権限の原則(Least Privilege Principle): ユーザー、プログラム、またはプロセスは、その機能を実行するために必要な最小限の権限のみを持つべきであるというセキュリティベストプラクティスです。
- サニタイズ(Sanitization): セキュリティの脆弱性につながる可能性のある有害な文字やコードを削除するために、ユーザー入力をクリーニングまたはフィルタリングするプロセスです。これは、出力エンコーディングと組み合わせてよく使用されます。
インジェクションの脆弱性からの防御
インジェクションの脆弱性、特にデータベースインタラクションにおけるものは、依然として重大な脅威です。Node.jsアプリケーションを防御する方法は次のとおりです。
SQLインジェクション
SQLインジェクションは、攻撃者が悪意のあるコードをインプットフィールドに注入してSQLクエリを操作できる場合に発生します。
脆弱なコード例:
// app.js const express = require('express'); const mysql = require('mysql'); const app = express(); app.use(express.json()); const db = mysql.createConnection({ host: 'localhost', user: 'root', password: 'password', database: 'mydb' }); app.get('/users_vulnerable', (req, res) => { const username = req.query.username; // 信頼できない入力 const query = `SELECT * FROM users WHERE username = '${username}'`; // 直接連結 db.query(query, (err, results) => { if (err) { return res.status(500).send(err.message); } res.json(results); }); }); app.listen(3000, () => { console.log('Vulnerable server running on port 3000'); });
攻撃者は GET /users_vulnerable?username=' OR '1'='1 を送信してすべてのユーザーを取得したり、さらには GET /users_vulnerable?username='; DROP TABLE users; -- を送信して users テーブルを削除しようとする可能性があります。
緩和策: パラメータ化クエリ / Prepared Statements
SQLインジェクションに対する最も効果的な防御策は、パラメータ化クエリを使用することです。ほとんどのNode.js用データベースドライバーはこれをサポートしています。
// app.js // ... (expressとmysqlの以前のボイラープレート) app.get('/users_secure', (req, res) => { const username = req.query.username; // 信頼できない入力 const query = 'SELECT * FROM users WHERE username = ?'; // 値のプレースホルダー db.query(query, [username], (err, results) => { // 値を配列として渡す if (err) { return res.status(500).send(err.message); } res.json(results); }); });
ここでは、? がプレースホルダーとして機能し、[username] 配列が値を個別に渡します。データベースドライバーは、SQLコードとデータを正しく区別し、インジェクションを防ぎます。
NoSQLインジェクション
MongoDBのようなNoSQLデータベースでは、ユーザー入力をクエリオブジェクトに直接連結してクエリを構築すると、同様のインジェクションリスクが存在します。
脆弱なコード例(Mongoose を使用した MongoDB):
// mongo_app.js Mongooseを使用 const express = require('express'); const mongoose = require('mongoose'); const app = express(); app.use(express.json()); mongoose.connect('mongodb://localhost:27017/my_mongodb', { useNewUrlParser: true, useUnifiedTopology: true }); const UserSchema = new mongoose.Schema({ username: String, password: String }); const User = mongoose.model('User', UserSchema); app.get('/find_user_vulnerable', async (req, res) => { const username = req.query.username; // {"$ne": null} のような悪意のある入力は、ユーザー名のチェックをバイパスする可能性がある const query = { username: username }; // クエリオブジェクトでユーザー入力を直接使用 try { const user = await User.findOne(query); res.json(user); } catch (err) { res.status(500).send(err.message); } });
攻撃者は GET /find_user_vulnerable?username[$ne]=null を送信して、見つかった最初のユーザーとしてログインしたり、ユーザー名の検証をバイパスしたりする可能性があります。
緩和策: 厳格なスキーマ検証とMongooseクエリメソッド
Mongooseの堅牢なクエリメソッドは、正しく使用されれば、ほとんどのNoSQLインジェクションから固有に保護します。特殊なNoSQL演算子を含む可能性のある検証されていないユーザー入力からクエリオブジェクトを動的に構築することは避けてください。
// mongo_app.js // ... (expressとmongooseの以前のボイラープレート) app.get('/find_user_secure', async (req, res) => { const username = req.query.username; try { // Mongoose は findOne に渡された値を自動的にサニタイズおよびエスケープします const user = await User.findOne({ username: username }); res.json(user); } catch (err) { res.status(500).send(err.message); } });
常にORM/ODM(Mongooseのような)が提供する組み込みメソッドを使用し、それらの入力サニタイズに依存してください。複雑なシナリオ、または生のクエリが避けられない場合は、すべてのユーザー入力を厳格に検証およびサニタイズしてください。
OSコマンドインジェクション
これは、アプリケーションがユーザー入力に基づいてOSコマンドを実行し、攻撃者が悪意のあるコマンドを注入できる場合に発生します。
脆弱なコード例:
// cmd_app.js const express = require('express'); const { exec } = require('child_process'); const app = express(); app.use(express.json()); app.get('/exec_cmd_vulnerable', (req, res) => { const filename = req.query.filename; // 信頼できないユーザー入力 // 攻撃者は `file.txt; rm -rf /` のようなものを入力できます exec(`cat ${filename}`, (err, stdout, stderr) => { if (err) { return res.status(500).send(`Error: ${err.message}`); } res.send(stdout); }); });
緩和策: execとユーザー入力を避ける; spawnまたはホワイトリスト検証を使用する
exec よりも child_process.spawn を優先してください。spawn は引数を個別のエンティティとして扱い、コマンドインジェクションを難しくします。さらに良いのは、ユーザー入力に基づいて任意のコマンドを実行することを避けることです。どうしても必要な場合は、許可されるコマンドを厳格にホワイトリスト化し、引数を積極的に検証してください。
// cmd_app.js const express = require('express'); const { execFile } = require('child_process'); // 特定のコマンドにはより安全 const app = express(); app.use(express.json()); app.get('/exec_cmd_secure', (req, res) => { const filename = req.query.filename; // 厳格な入力検証: filename が安全な文字のみを含むことを確認します if (!/^[a-zA-Z0-9_\-.]+$/.test(filename)) { return res.status(400).send('Invalid filename provided.'); } // コマンドとその引数を指定する場合、execFile を使用します // execFile はシェル解釈なしで直接コマンドを実行します execFile('cat', [filename], (err, stdout, stderr) => { if (err) { return res.status(500).send(`Error: ${err.message}`); } res.send(stdout); }); });
不適切なアクセス制御の防止
不適切なアクセス制御は、権限のないユーザーが不正な操作を実行したり、アクセスすべきでないデータにアクセスしたりすることを許可します。
脆弱性の特定
不適切なアクセス制御が顕著になる一般的なシナリオには、次のようなものがあります。
- 承認チェックのバイパス: ユーザーがURL、HTTPヘッダー、またはボディのパラメータを変更して、権限昇格や他のユーザーのデータへのアクセス権を取得します。
- 安全でない直接オブジェクト参照(IDOR): アプリケーションが、十分な承認チェックなしに内部オブジェクト識別子を直接公開し、攻撃者がIDを変更するだけで他のユーザーのリソースを変更または削除できるようにします。
- 権限昇格: ユーザーが、トークンでロールを変更したり、「ゴッドモード」エンドポイントにアクセスしたりすることによって、許可されているよりも高い権限を取得します。
緩和策
効果的なアクセス制御には、多層的なアプローチが必要です。
-
堅牢な認証と承認の実装:
- 認証: ユーザーの身元を確認します(例:ユーザー名/パスワード、OAuth、JWT)。
- 承認: 認証されたユーザーができることを決定します。
Node.js/Express では、承認のためにミドルウェアを使用します。
// auth_middleware.js const jwt = require('jsonwebtoken'); const JWT_SECRET = 'your_super_secret_key'; // 本番環境では変更してください! const authenticateToken = (req, res, next) => { const authHeader = req.headers['authorization']; const token = authHeader && authHeader.split(' ')[1]; if (token == null) return res.sendStatus(401); // トークンなし jwt.verify(token, JWT_SECRET, (err, user) => { if (err) return res.sendStatus(403); // 無効なトークン req.user = user; next(); }); }; const authorizeRole = (requiredRole) => { return (req, res, next) => { if (!req.user || req.user.role !== requiredRole) { return res.sendStatus(403); // 禁止 } next(); }; }; module.exports = { authenticateToken, authorizeRole };アプリケーション:
// app.js const express = require('express'); const { authenticateToken, authorizeRole } = require('./auth_middleware'); const app = express(); app.use(express.json()); // 公開ルート app.get('/public', (req, res) => { res.send('This is a public resource.'); }); // 認証済みルート、ログインしているすべてのユーザーがアクセス可能 app.get('/profile', authenticateToken, (req, res) => { res.json({ message: `Welcome, ${req.user.username}! Your role is ${req.user.role}.` }); }); // 管理者のみのルート app.get('/admin_dashboard', authenticateToken, authorizeRole('admin'), (req, res) => { res.send('Welcome to the admin dashboard!'); }); // ログイン例(実際にはパスワードをハッシュ化してDBと比較します) app.post('/login', (req, res) => { const { username, password } = req.body; // 実際にはDBでユーザー資格情報を確認します if (username === 'admin' && password === 'adminpass') { const token = jwt.sign({ username: 'admin', role: 'admin' }, JWT_SECRET); return res.json({ token }); } if (username === 'user' && password === 'userpass') { const token = jwt.sign({ username: 'user', role: 'user' }, JWT_SECRET); return res.json({ token }); } res.status(401).send('Invalid credentials'); }); app.listen(3000, () => { console.log('Server running on port 3000'); }); -
すべての受信データを検証する: クライアントサイドのデータを決して信用しないでください。サーバーサイドでクライアントから送信されたデータを常に検証し、期待される型、形式、範囲に準拠していることを確認してください。
Joiやexpress-validatorのようなライブラリを使用します。 -
オブジェクトレベルのアクセスチェックを実装する(IDOR防止): ユーザーがIDでリソースをリクエストする場合(例:
/api/orders/:id)、認証されたユーザーがその特定の注文にアクセスする権限があることを常に検証してください。// app.js (続き) // ... const Order = /* Order の Mongoose モデル */; app.get('/orders/:orderId', authenticateToken, async (req, res) => { const orderId = req.params.orderId; try { const order = await Order.findById(orderId); if (!order) { return res.status(404).send('Order not found.'); } // 重要: 認証されたユーザーがこの注文を所有しているか確認します if (order.userId.toString() !== req.user.id) { // order に userId フィールドがあると仮定します return res.status(403).send('You are not authorized to view this order.'); } res.json(order); } catch (err) { res.status(500).send(err.message); } });これにより, URL の
orderIdを変更するだけで、ユーザーが他のユーザーの注文にアクセスするのを防ぐことができます。 -
最小権限を強制する: ユーザーやサービスなどのエンティティが、その機能に絶対に必要な権限のみを持つようにアプリケーションを設計してください。デフォルトで管理者権限を付与しないでください。
-
ディレクトリリスティングを無効にする: Webサーバー構成(例:Nginx、Apache、またはExpressの静的ミドルウェア)で、ディレクトリリスティングが機密ファイルを露呈しないようにしてください。
結論
OWASP Top 10の脆弱性からNode.jsアプリケーションを保護することは、開発ライフサイクルの一部であり、後付けではありません。インジェクションの脆弱性に対処するためのパラメータ化クエリの使用や、堅牢で粒度の細かいアクセス制御メカニズムの実装などのプラクティスを厳格に適用することで、開発者はアプリケーションを大幅に強化できます。慎重な入力検証、適切な承認チェック、最小権限の原則を通じた積極的な防御は、Node.jsアプリケーションが一般的なエクスプロイト試行に対して回復力があることを保証します。
Share this article
![x](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm16 17.537h10.125l6.992 9.242 8.084-9.242h4.908L35.39 29.79 48 46.463h-9.875l-7.734-10.111-8.85 10.11h-4.908l11.465-13.105zm5.73 2.783 17.75 23.205h2.72L24.647 20.32z" /></g><g fill="%23000000"><path d="M0 0v64h64V0zm16 17.537h10.125l6.992 9.242 8.084-9.242h4.908L35.39 29.79 48 46.463h-9.875l-7.734-10.111-8.85 10.11h-4.908l11.465-13.105zm5.73 2.783 17.75 23.205h2.72L24.647 20.32z" /></g></svg>){kind=small}
![facebook](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm39.6 22h-2.8c-2.2 0-2.6 1.1-2.6 2.6V28h5.3l-.7 5.3h-4.6V47h-5.5V33.3H24V28h4.6v-4c0-4.6 2.8-7 6.9-7 2 0 3.6.1 4.1.2z" /></g><g fill="%233b5998"><path d="M0 0v64h64V0zm39.6 22h-2.8c-2.2 0-2.6 1.1-2.6 2.6V28h5.3l-.7 5.3h-4.6V47h-5.5V33.3H24V28h4.6v-4c0-4.6 2.8-7 6.9-7 2 0 3.6.1 4.1.2z" /></g></svg>){kind=small}
![linkedin](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm25.8 44h-5.4V26.6h5.4zm-2.7-19.7c-1.7 0-3.1-1.4-3.1-3.1s1.4-3.1 3.1-3.1 3.1 1.4 3.1 3.1-1.4 3.1-3.1 3.1M46 44h-5.4v-8.4c0-2 0-4.6-2.8-4.6s-3.2 2.2-3.2 4.5V44h-5.4V26.6h5.2V29h.1c.7-1.4 2.5-2.8 5.1-2.8 5.5 0 6.5 3.6 6.5 8.3V44z" /></g><g fill="%23007fb1"><path d="M0 0v64h64V0zm25.8 44h-5.4V26.6h5.4zm-2.7-19.7c-1.7 0-3.1-1.4-3.1-3.1s1.4-3.1 3.1-3.1 3.1 1.4 3.1 3.1-1.4 3.1-3.1 3.1M46 44h-5.4v-8.4c0-2 0-4.6-2.8-4.6s-3.2 2.2-3.2 4.5V44h-5.4V26.6h5.2V29h.1c.7-1.4 2.5-2.8 5.1-2.8 5.5 0 6.5 3.6 6.5 8.3V44z" /></g></svg>){kind=small}
![reddit](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm53.344 32a4.67 4.67 0 0 0-7.903-3.2 22.77 22.77 0 0 0-12.32-3.937L35.2 14.88l6.848 1.441a3.2 3.2 0 0 0 3.02 2.852 3.2 3.2 0 1 0-2.602-4.805l-7.84-1.566a1 1 0 0 0-.754.136.98.98 0 0 0-.43.63l-2.37 11.105a22.8 22.8 0 0 0-12.477 3.937 4.672 4.672 0 1 0-5.152 7.648q-.06.704 0 1.407c0 7.168 8.351 12.992 18.656 12.992 10.3 0 18.656-5.824 18.656-12.992a9.4 9.4 0 0 0 0-1.406A4.68 4.68 0 0 0 53.344 32m-32 3.2a3.198 3.198 0 1 1 6.398 0 3.195 3.195 0 0 1-3.199 3.198c-1.766 0-3.2-1.43-3.2-3.199M39.938 44a12.3 12.3 0 0 1-7.907 2.465A12.3 12.3 0 0 1 24.13 44a.87.87 0 0 1 .055-1.16.87.87 0 0 1 1.16-.055A10.48 10.48 0 0 0 32 44.801a10.5 10.5 0 0 0 6.688-1.953.9.9 0 0 1 1.265.015.9.9 0 0 1-.016 1.266Zm-.579-5.473a3.2 3.2 0 0 1-3.199-3.199 3.198 3.198 0 1 1 6.398 0 3.2 3.2 0 0 1-3.23 3.328Zm0 0" /></g><g fill="%23FF4500"><path d="M0 0v64h64V0zm53.344 32a4.67 4.67 0 0 0-7.903-3.2 22.77 22.77 0 0 0-12.32-3.937L35.2 14.88l6.848 1.441a3.2 3.2 0 0 0 3.02 2.852 3.2 3.2 0 1 0-2.602-4.805l-7.84-1.566a1 1 0 0 0-.754.136.98.98 0 0 0-.43.63l-2.37 11.105a22.8 22.8 0 0 0-12.477 3.937 4.672 4.672 0 1 0-5.152 7.648q-.06.704 0 1.407c0 7.168 8.351 12.992 18.656 12.992 10.3 0 18.656-5.824 18.656-12.992a9.4 9.4 0 0 0 0-1.406A4.68 4.68 0 0 0 53.344 32m-32 3.2a3.198 3.198 0 1 1 6.398 0 3.195 3.195 0 0 1-3.199 3.198c-1.766 0-3.2-1.43-3.2-3.199M39.938 44a12.3 12.3 0 0 1-7.907 2.465A12.3 12.3 0 0 1 24.13 44a.87.87 0 0 1 .055-1.16.87.87 0 0 1 1.16-.055A10.48 10.48 0 0 0 32 44.801a10.5 10.5 0 0 0 6.688-1.953.9.9 0 0 1 1.265.015.9.9 0 0 1-.016 1.266Zm-.579-5.473a3.2 3.2 0 0 1-3.199-3.199 3.198 3.198 0 1 1 6.398 0 3.2 3.2 0 0 1-3.23 3.328Zm0 0" /></g></svg>){kind=small}
![telegram](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm11.887 33.477c3.73-2.055 7.894-3.77 11.785-5.497 6.695-2.824 13.414-5.597 20.203-8.18 1.324-.44 3.695-.87 3.93 1.087-.13 2.773-.653 5.527-1.012 8.281-.914 6.055-1.969 12.094-2.996 18.133-.356 2.008-2.875 3.05-4.488 1.761-3.871-2.613-7.778-5.207-11.598-7.882-1.254-1.274-.094-3.102 1.027-4.012 3.188-3.145 6.575-5.816 9.598-9.121.816-1.973-1.594-.313-2.39.2-4.368 3.007-8.63 6.202-13.235 8.847-2.352 1.297-5.094.187-7.445-.535-2.11-.871-5.2-1.75-3.38-3.082m0 0" /></g><g fill="%2349a9e9"><path d="M0 0v64h64V0zm11.887 33.477c3.73-2.055 7.894-3.77 11.785-5.497 6.695-2.824 13.414-5.597 20.203-8.18 1.324-.44 3.695-.87 3.93 1.087-.13 2.773-.653 5.527-1.012 8.281-.914 6.055-1.969 12.094-2.996 18.133-.356 2.008-2.875 3.05-4.488 1.761-3.871-2.613-7.778-5.207-11.598-7.882-1.254-1.274-.094-3.102 1.027-4.012 3.188-3.145 6.575-5.816 9.598-9.121.816-1.973-1.594-.313-2.39.2-4.368 3.007-8.63 6.202-13.235 8.847-2.352 1.297-5.094.187-7.445-.535-2.11-.871-5.2-1.75-3.38-3.082m0 0" /></g></svg>){kind=small}
