midway-fatcms 0.0.3 → 0.0.4

package/dist/middleware/forbidden.middleware.js

@@ -1,318 +1,318 @@
-"use strict";
-var __decorate = (this && this.__decorate) || function (decorators, target, key, desc) {
-    var c = arguments.length, r = c < 3 ? target : desc === null ? desc = Object.getOwnPropertyDescriptor(target, key) : desc, d;
-    if (typeof Reflect === "object" && typeof Reflect.decorate === "function") r = Reflect.decorate(decorators, target, key, desc);
-    else for (var i = decorators.length - 1; i >= 0; i--) if (d = decorators[i]) r = (c < 3 ? d(r) : c > 3 ? d(target, key, r) : d(target, key)) || r;
-    return c > 3 && r && Object.defineProperty(target, key, r), r;
-};
-Object.defineProperty(exports, "__esModule", { value: true });
-exports.ForbiddenMiddleware = void 0;
-const fatcms_request_1 = require("../libs/utils/fatcms-request");
-const core_1 = require("@midwayjs/core");
-// 恶意爬虫/漏洞扫描工具常探测的敏感配置文件路径
-const BLACK_EQUAL_LIST = [
-    // 环境配置文件
-    '/config.json',
-    '/backend/.env',
-    '/.env',
-    '/.env.dev',
-    '/.env.prod',
-    '/.env.local',
-    '/.env.staging',
-    '/.env.example',
-    '/.env.production',
-    '/.env.development',
-    '/application.yml',
-    '/application.yaml',
-    '/application.properties',
-    '/config.yaml',
-    '/config.yml',
-    '/db.ini',
-    '/database.yml',
-    '/api/.env',
-    // 安全相关文件
-    '/.well-known/security.txt',
-    '/security.txt',
-    '/.git/config',
-    '/.gitignore',
-    '/.npmrc',
-    '/.dockerignore',
-    '/Dockerfile',
-    '/docker-compose.yml',
-    // 备份文件
-    '/backup.sql',
-    '/dump.sql',
-    '/database.sql',
-    // 敏感信息文件
-    '/id_rsa',
-    '/id_rsa.pub',
-    '/.ssh/id_rsa',
-    '/privatekey.pem',
-    '/publickey.pem',
-];
-// 恶意爬虫/漏洞扫描工具常探测的敏感目录前缀
-const BLACK_PREFIX_LIST = [
-    // 版本控制系统
-    '/.git/',
-    '/.svn/',
-    '/.hg/',
-    '/.bzr/',
-    // 云服务配置
-    '/.aws/',
-    '/.azure/',
-    '/.gcp/',
-    // 环境配置
-    '/.env/',
-    '/.vscode/',
-    '/.idea/',
-    // 源码目录（防止暴露）
-    '/src/',
-    '/source/',
-    '/sources/',
-    // 日志目录
-    '/var/logs/',
-    '/var/log/',
-    '/logs/',
-    '/log/',
-    // 备份目录
-    '/backup/',
-    '/backups/',
-    '/bak/',
-    // 临时文件目录
-    '/tmp/',
-    '/temp/',
-    // Web服务器相关
-    '/cgi-bin/',
-    '/php-cgi/',
-    '/phpMyAdmin/',
-    '/phpmyadmin/',
-    '/adminer/',
-    // 常见后台路径
-    '/admin/',
-    '/administrator/',
-    '/manage/',
-    '/backend/',
-    '/console/',
-    // 测试相关
-    '/test/',
-    '/tests/',
-    '/testing/',
-    '/debug/',
-];
-// 业务正常路径白名单前缀
-const WHITE_LIST_PREFIX = ['/ns/', '/pages/'];
-// WordPress相关攻击路径特征
-const WP_ATTACK_PATTERNS = [
-    '/wp-includes/',
-    '/wp-admin/',
-    '/wp-content/',
-    '/wp-login.php',
-    '/xmlrpc.php',
-];
-// 危险文件后缀
-const DANGEROUS_SUFFIXES = [
-    // PHP相关（Node.js应用不应有PHP文件）
-    '.php',
-    '.php3',
-    '.php4',
-    '.php5',
-    '.phtml',
-    // JSP相关
-    '.jsp',
-    '.jspx',
-    // ASP相关
-    '.asp',
-    '.aspx',
-    '.asa',
-    // 其他脚本
-    '.cgi',
-    '.pl',
-    // 配置文件
-    '.ini',
-    '.conf',
-    '.config',
-    // 备份文件
-    '.bak',
-    '.backup',
-    '.old',
-    '.orig',
-    '.save',
-    '.swp',
-    '.swo',
-    '~',
-    // 压缩文件（可能包含源码）
-    '.tar.gz',
-    '.tgz',
-    '.zip',
-    '.rar',
-    '.7z',
-    // SQL文件
-    '.sql',
-    '.sqlite',
-    '.db',
-];
-// 可疑查询参数特征（SQL注入、路径遍历等）
-const SUSPICIOUS_QUERY_PATTERNS = ['../', '..\\', '%2e%2e%2f', '%2e%2e/', '..%2f', '%2e%2e%5c'];
-// 可疑User-Agent特征  识别10+种常见渗透测试工具
-const SUSPICIOUS_USER_AGENTS = [
-    'sqlmap',
-    'nikto',
-    'nmap',
-    'masscan',
-    'nessus',
-    'openvas',
-    'metasploit',
-    'burpsuite',
-    'zaproxy',
-    'acunetix', // Web应用扫描
-];
-/**
- * 安全防护中间件 - 黑名单路径拦截
- *
- * 核心职责：
- * 1. 防御恶意爬虫：拦截常见的配置文件探测请求（.env、config.json等）
- * 2. 防御漏洞扫描：阻止安全扫描工具对敏感目录的探测（.git、.aws等）
- * 3. 防御自动化攻击：拦截针对WordPress、PHP等常见CMS的攻击路径
- * 4. 防御路径遍历：检测并阻止 ../ 等路径遍历攻击尝试
- * 5. 识别攻击工具：检测User-Agent中的sqlmap、nikto等渗透测试工具
- * 6. 性能优化：提前拦截无效请求，避免进入业务逻辑层消耗资源
- *
- * 应用场景：
- * - 公网暴露的Web应用：防止自动化工具批量扫描敏感路径
- * - 云原生部署环境：保护云服务配置文件不被探测（.aws、.env等）
- * - 多技术栈迁移：新系统可能残留旧技术栈痕迹，统一拦截避免误暴露
- * - 安全合规要求：主动防御已知的常见攻击路径，降低安全风险
- *
- * 拦截策略：
- * - User-Agent检测：识别常见扫描工具（sqlmap, nikto, nmap, metasploit等）
- * - 路径遍历检测：阻止 ../, ..\, %2e%2e%2f 等编码后的遍历尝试
- * - 精确匹配：config.json、.env、application.yml等配置文件
- * - 前缀匹配：.git/、.svn/、.aws/等版本控制和云服务目录
- * - 模糊匹配：wp-admin、wp-content等WordPress相关路径
- * - 后缀匹配：.php/.jsp/.asp等脚本文件、.bak/.sql等敏感文件
- *
- * 防御能力增强：
- * - 支持30+种敏感配置文件拦截
- * - 支持50+种敏感目录前缀拦截
- * - 支持40+种危险文件后缀拦截
- * - 支持10+种常见攻击工具识别
- *
- * 注意事项：
- * 此中间件拦截的路径在实际项目中并不存在，仅为安全防护层。
- * 被拦截的请求会立即返回404，不会进入后续业务逻辑。
- */
-let ForbiddenMiddleware = class ForbiddenMiddleware {
-    /**
-     * 匹配规则：判断请求路径是否在黑名单中
-     * @param ctx Koa上下文
-     * @returns true表示需要拦截，false表示放行
-     */
-    match(ctx) {
-        const path = ctx.path;
-        // 1. 白名单路径检查
-        if (this.isWhiteListPath(path)) {
-            return false;
-        }
-        // 2. 检查可疑User-Agent
-        if (this.isSuspiciousUserAgent(ctx)) {
-            return true;
-        }
-        // 3. 检查路径遍历攻击
-        if (this.hasPathTraversal(path)) {
-            return true;
-        }
-        // 4. 精确匹配：常见配置文件路径
-        if (this.isExactMatch(path)) {
-            return true;
-        }
-        // 5. 前缀匹配：敏感目录前缀
-        if (this.isPrefixMatch(path)) {
-            return true;
-        }
-        // 6. 模糊匹配：WordPress路径、PHP文件、Git配置
-        return this.isFuzzyMatch(path);
-    }
-    /**
-     * 检查是否为白名单路径
-     */
-    isWhiteListPath(path) {
-        if (path === '/') {
-            return true;
-        }
-        return WHITE_LIST_PREFIX.some(prefix => path.startsWith(prefix));
-    }
-    /**
-     * 精确匹配：配置文件路径
-     */
-    isExactMatch(path) {
-        return BLACK_EQUAL_LIST.includes(path);
-    }
-    /**
-     * 前缀匹配：敏感目录
-     */
-    isPrefixMatch(path) {
-        return BLACK_PREFIX_LIST.some(prefix => path.startsWith(prefix));
-    }
-    /**
-     * 模糊匹配：WordPress路径、危险文件后缀
-     */
-    isFuzzyMatch(path) {
-        // WordPress攻击路径
-        const hasWpPattern = WP_ATTACK_PATTERNS.some(pattern => path.includes(pattern));
-        if (hasWpPattern) {
-            return true;
-        }
-        // 危险文件后缀
-        return DANGEROUS_SUFFIXES.some(suffix => path.endsWith(suffix));
-    }
-    /**
-     * 检查是否为可疑的User-Agent（扫描工具、渗透测试工具）
-     */
-    isSuspiciousUserAgent(ctx) {
-        const userAgent = (ctx.get('user-agent') || '').toLowerCase();
-        if (!userAgent) {
-            return false;
-        }
-        return SUSPICIOUS_USER_AGENTS.some(tool => userAgent.includes(tool));
-    }
-    /**
-     * 检查是否包含路径遍历政击特征
-     */
-    hasPathTraversal(path) {
-        try {
-            const decodedPath = decodeURIComponent(path);
-            return SUSPICIOUS_QUERY_PATTERNS.some(pattern => decodedPath.includes(pattern));
-        }
-        catch (e) {
-            // URL解码失败（如包含非法编码字符），直接判定为可疑请求
-            return true;
-        }
-    }
-    /**
-     * 拦截处理：返回404响应
-     */
-    resolve() {
-        return async (ctx, next) => {
-            // 记录可疑请求日志（便于安全审计）
-            const suspiciousInfo = {
-                path: ctx.path,
-                method: ctx.method,
-                ip: (0, fatcms_request_1.getRealIpSafe)(ctx),
-                userAgent: ctx.get('user-agent'),
-                referer: ctx.get('referer'),
-            };
-            ctx.logger.warn('[Security] Blocked suspicious request', suspiciousInfo);
-            // 返回通用404响应，避免泄露系统信息
-            ctx.status = 404;
-            ctx.set({ 'content-type': 'text/html; charset=utf-8' });
-            ctx.body = 'Not Found';
-        };
-    }
-    static getName() {
-        return 'ForbiddenMiddleware';
-    }
-};
-ForbiddenMiddleware = __decorate([
-    (0, core_1.Middleware)()
-], ForbiddenMiddleware);
-exports.ForbiddenMiddleware = ForbiddenMiddleware;
+"use strict";
+var __decorate = (this && this.__decorate) || function (decorators, target, key, desc) {
+    var c = arguments.length, r = c < 3 ? target : desc === null ? desc = Object.getOwnPropertyDescriptor(target, key) : desc, d;
+    if (typeof Reflect === "object" && typeof Reflect.decorate === "function") r = Reflect.decorate(decorators, target, key, desc);
+    else for (var i = decorators.length - 1; i >= 0; i--) if (d = decorators[i]) r = (c < 3 ? d(r) : c > 3 ? d(target, key, r) : d(target, key)) || r;
+    return c > 3 && r && Object.defineProperty(target, key, r), r;
+};
+Object.defineProperty(exports, "__esModule", { value: true });
+exports.ForbiddenMiddleware = void 0;
+const fatcms_request_1 = require("../libs/utils/fatcms-request");
+const core_1 = require("@midwayjs/core");
+// 恶意爬虫/漏洞扫描工具常探测的敏感配置文件路径
+const BLACK_EQUAL_LIST = [
+    // 环境配置文件
+    '/config.json',
+    '/backend/.env',
+    '/.env',
+    '/.env.dev',
+    '/.env.prod',
+    '/.env.local',
+    '/.env.staging',
+    '/.env.example',
+    '/.env.production',
+    '/.env.development',
+    '/application.yml',
+    '/application.yaml',
+    '/application.properties',
+    '/config.yaml',
+    '/config.yml',
+    '/db.ini',
+    '/database.yml',
+    '/api/.env',
+    // 安全相关文件
+    '/.well-known/security.txt',
+    '/security.txt',
+    '/.git/config',
+    '/.gitignore',
+    '/.npmrc',
+    '/.dockerignore',
+    '/Dockerfile',
+    '/docker-compose.yml',
+    // 备份文件
+    '/backup.sql',
+    '/dump.sql',
+    '/database.sql',
+    // 敏感信息文件
+    '/id_rsa',
+    '/id_rsa.pub',
+    '/.ssh/id_rsa',
+    '/privatekey.pem',
+    '/publickey.pem',
+];
+// 恶意爬虫/漏洞扫描工具常探测的敏感目录前缀
+const BLACK_PREFIX_LIST = [
+    // 版本控制系统
+    '/.git/',
+    '/.svn/',
+    '/.hg/',
+    '/.bzr/',
+    // 云服务配置
+    '/.aws/',
+    '/.azure/',
+    '/.gcp/',
+    // 环境配置
+    '/.env/',
+    '/.vscode/',
+    '/.idea/',
+    // 源码目录（防止暴露）
+    '/src/',
+    '/source/',
+    '/sources/',
+    // 日志目录
+    '/var/logs/',
+    '/var/log/',
+    '/logs/',
+    '/log/',
+    // 备份目录
+    '/backup/',
+    '/backups/',
+    '/bak/',
+    // 临时文件目录
+    '/tmp/',
+    '/temp/',
+    // Web服务器相关
+    '/cgi-bin/',
+    '/php-cgi/',
+    '/phpMyAdmin/',
+    '/phpmyadmin/',
+    '/adminer/',
+    // 常见后台路径
+    '/admin/',
+    '/administrator/',
+    '/manage/',
+    '/backend/',
+    '/console/',
+    // 测试相关
+    '/test/',
+    '/tests/',
+    '/testing/',
+    '/debug/',
+];
+// 业务正常路径白名单前缀
+const WHITE_LIST_PREFIX = ['/ns/', '/pages/'];
+// WordPress相关攻击路径特征
+const WP_ATTACK_PATTERNS = [
+    '/wp-includes/',
+    '/wp-admin/',
+    '/wp-content/',
+    '/wp-login.php',
+    '/xmlrpc.php',
+];
+// 危险文件后缀
+const DANGEROUS_SUFFIXES = [
+    // PHP相关（Node.js应用不应有PHP文件）
+    '.php',
+    '.php3',
+    '.php4',
+    '.php5',
+    '.phtml',
+    // JSP相关
+    '.jsp',
+    '.jspx',
+    // ASP相关
+    '.asp',
+    '.aspx',
+    '.asa',
+    // 其他脚本
+    '.cgi',
+    '.pl',
+    // 配置文件
+    '.ini',
+    '.conf',
+    '.config',
+    // 备份文件
+    '.bak',
+    '.backup',
+    '.old',
+    '.orig',
+    '.save',
+    '.swp',
+    '.swo',
+    '~',
+    // 压缩文件（可能包含源码）
+    '.tar.gz',
+    '.tgz',
+    '.zip',
+    '.rar',
+    '.7z',
+    // SQL文件
+    '.sql',
+    '.sqlite',
+    '.db',
+];
+// 可疑查询参数特征（SQL注入、路径遍历等）
+const SUSPICIOUS_QUERY_PATTERNS = ['../', '..\\', '%2e%2e%2f', '%2e%2e/', '..%2f', '%2e%2e%5c'];
+// 可疑User-Agent特征  识别10+种常见渗透测试工具
+const SUSPICIOUS_USER_AGENTS = [
+    'sqlmap',
+    'nikto',
+    'nmap',
+    'masscan',
+    'nessus',
+    'openvas',
+    'metasploit',
+    'burpsuite',
+    'zaproxy',
+    'acunetix', // Web应用扫描
+];
+/**
+ * 安全防护中间件 - 黑名单路径拦截
+ *
+ * 核心职责：
+ * 1. 防御恶意爬虫：拦截常见的配置文件探测请求（.env、config.json等）
+ * 2. 防御漏洞扫描：阻止安全扫描工具对敏感目录的探测（.git、.aws等）
+ * 3. 防御自动化攻击：拦截针对WordPress、PHP等常见CMS的攻击路径
+ * 4. 防御路径遍历：检测并阻止 ../ 等路径遍历攻击尝试
+ * 5. 识别攻击工具：检测User-Agent中的sqlmap、nikto等渗透测试工具
+ * 6. 性能优化：提前拦截无效请求，避免进入业务逻辑层消耗资源
+ *
+ * 应用场景：
+ * - 公网暴露的Web应用：防止自动化工具批量扫描敏感路径
+ * - 云原生部署环境：保护云服务配置文件不被探测（.aws、.env等）
+ * - 多技术栈迁移：新系统可能残留旧技术栈痕迹，统一拦截避免误暴露
+ * - 安全合规要求：主动防御已知的常见攻击路径，降低安全风险
+ *
+ * 拦截策略：
+ * - User-Agent检测：识别常见扫描工具（sqlmap, nikto, nmap, metasploit等）
+ * - 路径遍历检测：阻止 ../, ..\, %2e%2e%2f 等编码后的遍历尝试
+ * - 精确匹配：config.json、.env、application.yml等配置文件
+ * - 前缀匹配：.git/、.svn/、.aws/等版本控制和云服务目录
+ * - 模糊匹配：wp-admin、wp-content等WordPress相关路径
+ * - 后缀匹配：.php/.jsp/.asp等脚本文件、.bak/.sql等敏感文件
+ *
+ * 防御能力增强：
+ * - 支持30+种敏感配置文件拦截
+ * - 支持50+种敏感目录前缀拦截
+ * - 支持40+种危险文件后缀拦截
+ * - 支持10+种常见攻击工具识别
+ *
+ * 注意事项：
+ * 此中间件拦截的路径在实际项目中并不存在，仅为安全防护层。
+ * 被拦截的请求会立即返回404，不会进入后续业务逻辑。
+ */
+let ForbiddenMiddleware = class ForbiddenMiddleware {
+    /**
+     * 匹配规则：判断请求路径是否在黑名单中
+     * @param ctx Koa上下文
+     * @returns true表示需要拦截，false表示放行
+     */
+    match(ctx) {
+        const path = ctx.path;
+        // 1. 白名单路径检查
+        if (this.isWhiteListPath(path)) {
+            return false;
+        }
+        // 2. 检查可疑User-Agent
+        if (this.isSuspiciousUserAgent(ctx)) {
+            return true;
+        }
+        // 3. 检查路径遍历攻击
+        if (this.hasPathTraversal(path)) {
+            return true;
+        }
+        // 4. 精确匹配：常见配置文件路径
+        if (this.isExactMatch(path)) {
+            return true;
+        }
+        // 5. 前缀匹配：敏感目录前缀
+        if (this.isPrefixMatch(path)) {
+            return true;
+        }
+        // 6. 模糊匹配：WordPress路径、PHP文件、Git配置
+        return this.isFuzzyMatch(path);
+    }
+    /**
+     * 检查是否为白名单路径
+     */
+    isWhiteListPath(path) {
+        if (path === '/') {
+            return true;
+        }
+        return WHITE_LIST_PREFIX.some(prefix => path.startsWith(prefix));
+    }
+    /**
+     * 精确匹配：配置文件路径
+     */
+    isExactMatch(path) {
+        return BLACK_EQUAL_LIST.includes(path);
+    }
+    /**
+     * 前缀匹配：敏感目录
+     */
+    isPrefixMatch(path) {
+        return BLACK_PREFIX_LIST.some(prefix => path.startsWith(prefix));
+    }
+    /**
+     * 模糊匹配：WordPress路径、危险文件后缀
+     */
+    isFuzzyMatch(path) {
+        // WordPress攻击路径
+        const hasWpPattern = WP_ATTACK_PATTERNS.some(pattern => path.includes(pattern));
+        if (hasWpPattern) {
+            return true;
+        }
+        // 危险文件后缀
+        return DANGEROUS_SUFFIXES.some(suffix => path.endsWith(suffix));
+    }
+    /**
+     * 检查是否为可疑的User-Agent（扫描工具、渗透测试工具）
+     */
+    isSuspiciousUserAgent(ctx) {
+        const userAgent = (ctx.get('user-agent') || '').toLowerCase();
+        if (!userAgent) {
+            return false;
+        }
+        return SUSPICIOUS_USER_AGENTS.some(tool => userAgent.includes(tool));
+    }
+    /**
+     * 检查是否包含路径遍历政击特征
+     */
+    hasPathTraversal(path) {
+        try {
+            const decodedPath = decodeURIComponent(path);
+            return SUSPICIOUS_QUERY_PATTERNS.some(pattern => decodedPath.includes(pattern));
+        }
+        catch (e) {
+            // URL解码失败（如包含非法编码字符），直接判定为可疑请求
+            return true;
+        }
+    }
+    /**
+     * 拦截处理：返回404响应
+     */
+    resolve() {
+        return async (ctx, next) => {
+            // 记录可疑请求日志（便于安全审计）
+            const suspiciousInfo = {
+                path: ctx.path,
+                method: ctx.method,
+                ip: (0, fatcms_request_1.getRealIpSafe)(ctx),
+                userAgent: ctx.get('user-agent'),
+                referer: ctx.get('referer'),
+            };
+            ctx.logger.warn('[Security] Blocked suspicious request', suspiciousInfo);
+            // 返回通用404响应，避免泄露系统信息
+            ctx.status = 404;
+            ctx.set({ 'content-type': 'text/html; charset=utf-8' });
+            ctx.body = 'Not Found';
+        };
+    }
+    static getName() {
+        return 'ForbiddenMiddleware';
+    }
+};
+ForbiddenMiddleware = __decorate([
+    (0, core_1.Middleware)()
+], ForbiddenMiddleware);
+exports.ForbiddenMiddleware = ForbiddenMiddleware;