Уязвимость, связанная с медленной публикацией (RU пока мертв) - Express.js - ограничение скорости передачи данных Решение?

Question

Уязвимость, связанная с медленной публикацией (RU пока мертв) - Express.js - ограничение скорости передачи данных Решение?

Я пытаюсь решить проблему уязвимости, связанной с медленной публикацией в моем приложении.

Проблема: https://blog.qualys.com/securitylabs/2011/07/07/identifying-slow-http-attack-vulnerabilities-on-web-applications

Чтобы ограничить количество подключений от пользователя, я использовал express-rate-limit, чтобы приложение не оставалось недоступным.

const rateLimit = require('express-rate-limit')

const limiter = rateLimit({   windowMs: 60 * 1000, // 1 minute   max: 100 // limit each IP to 100 requests per windowMs })

app.use(limiter)

Но если я попытаюсь протестировать свое приложение с помощью slowtesttool и запустить тест с 2 подключениями (со скоростью 1 подключение в секунду и последующие данные каждые 10 секунд), я вижу, что подключения никогда не закрываются.

Я установил тайм-аут для подключения, как показано ниже, но похоже, что это не работает!

app.use((req, res, next) => {
  req.connection.setTimeout(30000, () => {
    req.socket.end()
  })
  next()
})

Есть ли способ ограничить скорость приема данных, то есть указать максимальное время, в течение которого я могу ждать каждого следующего фрагмента тела?

0

node.js express security qualys

Источник

user5055174 25 июн '20 в 02:35

1 ответ

Другие вопросы по тегам node.js express security qualys

user903011 25 июн '20 в 20:41 2020-06-25 20:41 · Answer 1 · 2020-06-25 20:41

Одним из решений может быть использование возможностей вашего переднего веб-сервера (я предполагаю, что вы разместите свое приложение за сервером, таким как nginx, apapche, caddy, ...).

Это встроено в Nginx и caddy, возможно, и в других тоже.

0

Источник

user903011 25 июн '20 в 20:41