티스토리 뷰

Security

[Node.js] md5, sha256 모듈을 이용한 비밀번호 보안

꿈을 위해 잠을 잊은 그대에게 2018. 7. 17. 01:59

)nodejs의 모듈을 사용하여 비밀번호를 보안하는 방법에 대해서 알아보겠습니다.



npm의 md5 모듈을 설치합니다.


var md5 = require('md5');


모듈을 다음과 같이 불러옵니다.


app.post('/auth/login', function(req, res){
var uname = req.body.username;
var pwd = req.body.password;
for(var i=0; i<users.length; i++){
var user = users[i];
if(uname === user.username && md5(pwd+user.salt) === user.password){
req.session.displayName = user.displayName;
return req.session.save(function(){
res.redirect('/welcome');
});
}
}
res.send('Who are you? <a href="/auth/login">login</a>');
});


로그인 시 기존 비밀번호와 비교할 새롭게 입력된 비밀번호에 모듈을 사용합니다. ex) md5(pwd+user.salt)



모듈이 설치된 것을 확인, node를 실행하여 암호화 할 숫자를 다음과 같이 모듈과 함께 선언합니다. ex) 암호화 할 숫자 111 -> md5('111');


password에 암호화 된 코드를 선언합니다. 각각의 다른 salt로 인하여 외부에서는 다르지만 내부적으로는 같은 비밀번호를 갖게 됩니다.



로그인과 로그아웃이 잘 이루어진 것을 확인할 수 있었습니다.


하지만 md5는 해커들에 의해서 취약점이 쉽게 노출될 수 있는 모듈입니다.



https://crackstation.net/


다음과 같은 사이트에서 암호화 된 코드를 쉽게 변환하여 복호화할 수 있습니다.


md5 모듈을 이용한 비밀번호 보안 


전체 코드


var express = require('express');
var session = require('express-session');
var FileStore = require('session-file-store')(session);
var bodyParser = require('body-parser');
var md5 = require('md5');
var app = express();
app.use(bodyParser.urlencoded({ extended: false }));
app.use(session({
secret: '1234DSFs@adf1234!@#&asd',
resave: false,
saveUninitialized: true,
store:new FileStore()
}));
app.get('/count', function(req, res){
if(req.session.count) {
req.session.count++;
} else {
req.session.count = 1;
}
res.send('count : '+req.session.count);
});
app.get('/auth/logout', function(req, res){
delete req.session.displayName;
res.redirect('/welcome');
});
app.get('/welcome', function(req, res){
if(req.session.displayName) {
res.send(`
<h1>Hello, ${req.session.displayName}</h1>
<a href="/auth/logout">logout</a>
`);
} else {
res.send(`
<h1>Welcome</h1>
<ul>
<li><a href="/auth/login">Login</a></li>
<li><a href="/auth/register">Register</a></li>
</ul>
`);
}
});
app.post('/auth/login', function(req, res){
var uname = req.body.username;
var pwd = req.body.password;
for(var i=0; i<users.length; i++){
var user = users[i];
if(uname === user.username && md5(pwd+user.salt) === user.password){
req.session.displayName = user.displayName;
return req.session.save(function(){
res.redirect('/welcome');
});
}
}
res.send('Who are you? <a href="/auth/login">login</a>');
});
app.get('/auth/login', function(req,res){
var output = `
<h1>Login</h1>
<form action="/auth/login" method="post">
<p>
<input type="text" name="username" placeholder="username">
</p>
<p>
<input type="password" name="password" placeholder="password">
</p>
<p>
<input type="submit">
</p>
</form>
`;

res.send(output);
});
var users = [
{
username: 'swk',
password: '698d51a19d8a121ce581499d7b701668',
salt:'!@#!@##Aaa',
displayName:'swk'
},
{
username: 'K8805',
password: '698d51a19d8a121ce581499d7b701668',
salt:'!@$!$@#$',
displayName:'K5'
}
];
app.post('/auth/register', function(req, res){
var user = {
username:req.body.username,
password:req.body.password,
displayName:req.body.displayName
};
users.push(user);
req.session.displayName = req.body.displayName;
req.session.save(function(){
res.redirect('/welcome');
});
});
app.get('/auth/register', function(req, res){
var output = `
<h1>Register</h1>
<form action="/auth/register" method="post">
<p>
<input type="text" name="username" placeholder="username">
</p>
<p>
<input type="password" name="password" placeholder="password">
</p>
<p>
<input type="text" name="displayName" placeholder="displayName">
</p>
<p>
<input type="submit">
</p>
</form>
`;
res.send(output);
});
app.listen(3003, function () {
console.log('Connected 3003 port!!!');
});



그리하여 다음과 같이 더 복잡한 암호화를 할 수 있는 sha256 모듈을 사용해보겠습니다.



모듈을 설치합니다.



var sha256 = require('sha256');

모듈을 선언합니다.


app.post('/auth/login', function(req, res){
var uname = req.body.username;
var pwd = req.body.password;
for(var i=0; i<users.length; i++){
var user = users[i];
if(uname === user.username && sha256(pwd+user.salt) === user.password){
req.session.displayName = user.displayName;
return req.session.save(function(){
res.redirect('/welcome');
});
}
}
res.send('Who are you? <a href="/auth/login">login</a>');
});


로그인 시 기존 비밀번호와 비교할 새롭게 입력된 비밀번호에 모듈을 사용합니다. sha256(pwd+user.salt)


var users = [
{
username: 'swk',
password: '111',
salt:'!@#!@##Aaa',
displayName:'swk'
},
{
username: 'K8805',
password: '111',
salt:'!@$!$@#$',
displayName:'K5'
}
];


각 salt의 값을 확인



사용자의 비밀번호 값과 salt의 값을 더하여 sha256 모듈을 사용합니다.



마찬가지로 더한 값을 확인합니다.


var users = [
{
username: 'swk',
password: 'c5b5a9ed37dfee64f9879de97482c432bce6655daf6c2680ff64504c28f7696e',
salt:'!@#!@##Aaa',
displayName:'swk'
},
{
username: 'K8805',
password: 'd6ede6c095c85166adf234d8731d129ad6067685a27b991038453179ebf4a990',
salt:'!@$!$@#$',
displayName:'K5'
}
];


salt와 pwd가 더해진 값을 password에 입력


로그인이 잘 이루어지는 것을 확인합니다.


sha256 모듈은 md5보다 더 복잡하게 암호화된 코드를 가질 수 있으며 


이를 기존의 패스워드 값과 더하게 되면 더 복잡한 암호화 코드를 생성할 수 있습니다.


그리고 이러한 모듈을 해시 함수라고 부릅니다.



sha256 모듈을 이용한 비밀번호 보안


전체코드


var express = require('express');
var session = require('express-session');
var FileStore = require('session-file-store')(session);
var bodyParser = require('body-parser');
var sha256 = require('sha256');
var app = express();
app.use(bodyParser.urlencoded({ extended: false }));
app.use(session({
secret: '1234DSFs@adf1234!@#&asd',
resave: false,
saveUninitialized: true,
store:new FileStore()
}));
app.get('/count', function(req, res){
if(req.session.count) {
req.session.count++;
} else {
req.session.count = 1;
}
res.send('count : '+req.session.count);
});
app.get('/auth/logout', function(req, res){
delete req.session.displayName;
res.redirect('/welcome');
});
app.get('/welcome', function(req, res){
if(req.session.displayName) {
res.send(`
<h1>Hello, ${req.session.displayName}</h1>
<a href="/auth/logout">logout</a>
`);
} else {
res.send(`
<h1>Welcome</h1>
<ul>
<li><a href="/auth/login">Login</a></li>
<li><a href="/auth/register">Register</a></li>
</ul>
`);
}
});
app.post('/auth/login', function(req, res){
var uname = req.body.username;
var pwd = req.body.password;
for(var i=0; i<users.length; i++){
var user = users[i];
if(uname === user.username && sha256(pwd+user.salt) === user.password){
req.session.displayName = user.displayName;
return req.session.save(function(){
res.redirect('/welcome');
});
}
}
res.send('Who are you? <a href="/auth/login">login</a>');
});
app.get('/auth/login', function(req,res){
var output = `
<h1>Login</h1>
<form action="/auth/login" method="post">
<p>
<input type="text" name="username" placeholder="username">
</p>
<p>
<input type="password" name="password" placeholder="password">
</p>
<p>
<input type="submit">
</p>
</form>
`;

res.send(output);
});

var users = [
{
username: 'swk',
password: 'c5b5a9ed37dfee64f9879de97482c432bce6655daf6c2680ff64504c28f7696e',
salt:'!@#!@##Aaa',
displayName:'swk'
},
{
username: 'K8805',
password: 'd6ede6c095c85166adf234d8731d129ad6067685a27b991038453179ebf4a990',
salt:'!@$!$@#$',
displayName:'K5'
}
];
app.post('/auth/register', function(req, res){
var user = {
username:req.body.username,
password:req.body.password,
displayName:req.body.displayName
};
users.push(user);
req.session.displayName = req.body.displayName;
req.session.save(function(){
res.redirect('/welcome');
});
});
app.get('/auth/register', function(req, res){
var output = `
<h1>Register</h1>
<form action="/auth/register" method="post">
<p>
<input type="text" name="username" placeholder="username">
</p>
<p>
<input type="password" name="password" placeholder="password">
</p>
<p>
<input type="text" name="displayName" placeholder="displayName">
</p>
<p>
<input type="submit">
</p>
</form>
`;
res.send(output);
});
app.listen(3003, function () {
console.log('Connected 3003 port!!!');
});


저작자표시

'Security' 카테고리의 다른 글

HTTP & HTTPS의 간단한 정리  (0) 2020.06.23
대칭키 & 공개키  (0) 2020.06.22
JWT : jsonwebtoken 토큰 인증  (0) 2018.10.11
JWT 토큰은 어디에 저장하는게 좋을까?  (1) 2018.10.11
[Node.js] PBKDF2 모듈을 이용한 비밀번호 보안  (0) 2018.07.17
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크