Cómo los Aplicaciones de React son Hackeadas en el Mundo Real

Rate this content
Bookmark

React tiene un gran estándar de seguridad por defecto, pero si no prestas atención a los detalles, podrías ser víctima de algunas de las APIs de escape, o incluso de pasar props de forma insegura a los componentes. Te enseñaré cómo evitar estos problemas.

7 min
17 Jun, 2022

Video Summary and Transcription

Cómo hackear una aplicación de React en vivo del mundo real en siete minutos. Consejos, mejores prácticas y problemas comunes al escribir código en React. XSS y cross-site scripting en React. React es seguro por defecto, pero no siempre. Lo primero que descubriremos: agregar un enlace a una aplicación de React. Vulnerabilidad de código en React: cross-site scripting con enlace de Twitter. React no sanitiza ni muestra los atributos H ref. Intentos de solución: detectar JavaScript, usar un hashtag falso, convertir a minúsculas. Exploit del corrector de control. Mejores prácticas: evitar enfoque negacionista, sanitizar las entradas de los usuarios. Falta de sanitización y codificación de salida de React para las entradas de los usuarios. Explorando vulnerabilidades XSS y la necesidad de mostrar JSON de forma legible. El paquete React JSON pretty y sus posibles riesgos de XSS. La importancia de la codificación de contexto y las prácticas de codificación segura.

Available in English

1. React Application Hacking and XSS

Short description:

Cómo hackear una aplicación React en vivo de RealWorld en siete minutos. Consejos, mejores prácticas y problemas comunes al escribir código React. XSS y cross-site scripting en React. React es seguro por defecto, pero no siempre. Lo primero que descubriremos: agregar un enlace a una aplicación React.

¿Cómo te gustaría hackear una aplicación React en vivo de RealWorld? Así que empecemos y veamos cómo hacerlo en siete minutos. Intentaré darte la mayor cantidad de consejos y mejores prácticas que pueda y mostrarte dónde están los problemas comunes cuando escribes código React.

Así que mi nombre es Iruntal, soy un defensor del desarrollo en Snyk, donde ayudamos a los desarrolladores a construir software seguro. Tengo un montón de cosas sobre OWASP y Node.js y la investigación de seguridad que estoy haciendo por mi cuenta. Si tienes alguna pregunta o quieres ayudarme con eso, solo contáctame después y estaré encantado de hablar contigo y hacer algunas cosas juntos.

Entonces, ¿cómo se pueden encontrar vulnerabilidades en React en vivo? Básicamente, piensa en XSS. Y lo explicaré rápidamente. ¿Por qué estoy hablando de XSS y cross-site scripting cuando tenemos React y los modernos frameworks de frontend? Considera este ejemplo de código, que tiene un nombre con una imagen XSS y el nombre es una entrada del usuario. Fluye hacia tu JSX de esta manera y React muestra algo como esto. Hasta aquí todo bien. Cosas básicas. Funciona. En realidad, React muestra esto y no lo otro que viste antes. Estas se llaman entidades HTML y permiten que el navegador entienda que son triángulos izquierdos y derechos con los símbolos menor que y mayor que, y todas esas cosas. Y así el navegador entiende que quieres imprimirlo y te muestra esto. Cosas básicas.

Pero React es seguro por defecto. O seguro por defecto, eso es lo que significa. Hace la codificación de salida. ¿Qué tal si te digo que a veces no lo hace? No siempre. Y ahí es donde las cosas se complican. Así que descubramos la primera cosa. Toma uno. Quiero agregar un enlace a una aplicación React. Imagina que esta es mi aplicación y la estoy construyendo en el lado derecho. Hay una historia de usuario, ¿verdad? Los gerentes de producto ponen una historia de usuario. Quieres agregar enlaces de Twitter. Tiene sentido. Agrego un enlace de Twitter. Puedes ver la entrada. Básicamente tengo mi enlace de Twitter que viene, tal vez, desde un JSON del backend o desde otro lugar.

2. React Code Vulnerability and Best Practices

Short description:

Vulnerabilidad del código React: cross-site scripting con enlace de Twitter. React no sanitiza ni muestra los atributos H ref. Intentos de solución: detectar JavaScript, usar un hashtag ficticio, cambiar a minúsculas. Exploit del corrector de control. Mejores prácticas: evitar enfoque negacionista, sanitizar las entradas de usuario.

Y tengo mi código React con un componente. Hay un botón en él. H ref. Le doy el enlace de Twitter. ¿Hasta aquí todo bien? Veamos.

Bueno, básicamente, si esto fluye hacia el enlace de Twitter tal como está, eso es una vulnerabilidad de cross-site scripting. Entonces, si hicieras eso, y realmente la entrada del usuario para el enlace de Twitter fuera la siguiente, obtendrías una alerta emergente. Esto es código React simple. No hice nada más que mostrarte el código de lo que realmente sucede. La cosa es que React no sanitiza ni muestra en el código esos atributos H ref.

Entonces intentemos solucionarlo. Tal vez intentemos solucionarlo y hagamos algo como, bueno, detectar todas esas JavaScript y dos puntos que se están introduciendo allí, índice de, ¿verdad? Estoy detectando y comenzando con esto en lugar de estar en otro lugar de la URL. Seguiré adelante y lo solucionaré con un hashtag ficticio. Así que hago eso, pero luego... Eso no funciona porque los hackers son inteligentes, así que intentan diferentes formas de probar la aplicación.

Entonces tal vez estoy pensando, bueno, sabes qué? Intentaré solucionarlo con minúsculas. Así que convertiré todo a minúsculas y luego los compararé. ¿De acuerdo? Así que hice esto. Muy simple. Lo puse en producción. Probé. Funciona. Pero luego alguien viene y hace algo como esto. ¿De acuerdo? Esto es un corrector de control. Si alguien lo introduce, significa básicamente el final del medio, el final de la línea. Esta es una forma para que alguien lo introduzca. Y así, todo eso simplemente deja de funcionar. Enlaces en aplicaciones React. Piensa en el hecho de que aquí las mejores prácticas no son negacionistas, ¿de acuerdo? Están tratando de descubrir cómo eliminarlo. También piensa en cosas como sanitizar las entradas de usuario donde corresponda.

3. Vulnerabilidades XSS en React y Prácticas de Codificación Segura

Short description:

La falta de sanitización y codificación de salida de React para las entradas de usuario. Explorando las vulnerabilidades XSS y la necesidad de mostrar JSON de forma legible. El paquete React JSON pretty y sus posibles riesgos de XSS. La importancia de la codificación de contexto y las prácticas de codificación segura.

Debido a que React no sanitiza ni codifica correctamente la salida de todo lo que se le ingresa. Hay contextos específicos como los atributos HTML, dos elementos y todas esas cosas. Dicho esto, veamos otra forma de hacerlo.

Descubriendo las vulnerabilidades XSS de otras personas. ¿Cómo se muestra un JSON de forma legible como esto? Porque no quiero escribir toda la lógica para imprimirlo y darle formato, etc. Así que hago una instalación de npm para un paquete que lo hace por mí. Tiene sentido. Este tiene 50K descargas a la semana. Así que me siento bastante seguro al instalar React JSON pretty. Lo hago. Lo importo. Todo eso tiene sentido. Luego lo uso de esta manera. Un componente muy genial, fácil y simple. Hasta ahora, todo bien. Eso es lo que haces todo el día. ¿Está libre de XSS?

Piensa en qué entrada puede fluir hacia la aplicación. Tal vez fluya de diferentes formas. Tal vez tu manifiesto de paquete o el JSON que quieres mostrar no sea realmente un JSON Tal vez sea una cadena. Aquí está el código para eso. Este es el código del componente React JSON pretty. La biblioteca npm. Puedes ver que tiene algunos HTML establecidos de manera peligrosa, pero en realidad llama a esta función pretty, que es un método interno que intenta codificar la salida correctamente. Hace esencialmente lo que hace React. Bueno, si observas más detenidamente lo que sucede con las cosas que intenta capturar y no hacer correctamente. En realidad, tiene esta área donde lo captura, pero no codifica la salida correctamente. Así que eso es lo que tenemos. Y han intentado hacer algo de XSS para intentar eliminarlo. Tal vez lo hayas intentado. Tal vez no funcione. Tal vez lo uses en un contexto específico. Y te encuentres con el mismo problema, porque si intentas hacer eso en XSS para un atributo, eso no va a funcionar. Necesitas hacer codificación de contexto.

Así que dicho esto, te diré que si quieres aprender más sobre todo esto Hay muchas cosas en el blog. Puedes buscar cosas como react-security-best-practices-sneak o algo así. Y hacer codificación segura. Muchas gracias. Diviértete.

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

React Advanced Conference 2022React Advanced Conference 2022
25 min
A Guide to React Rendering Behavior
Top Content
React is a library for "rendering" UI from components, but many users find themselves confused about how React rendering actually works. What do terms like "rendering", "reconciliation", "Fibers", and "committing" actually mean? When do renders happen? How does Context affect rendering, and how do libraries like Redux cause updates? In this talk, we'll clear up the confusion and provide a solid foundation for understanding when, why, and how React renders. We'll look at: - What "rendering" actually is - How React queues renders and the standard rendering behavior - How keys and component types are used in rendering - Techniques for optimizing render performance - How context usage affects rendering behavior| - How external libraries tie into React rendering
React Summit Remote Edition 2021React Summit Remote Edition 2021
33 min
Building Better Websites with Remix
Top Content
Remix is a new web framework from the creators of React Router that helps you build better, faster websites through a solid understanding of web fundamentals. Remix takes care of the heavy lifting like server rendering, code splitting, prefetching, and navigation and leaves you with the fun part: building something awesome!
React Advanced Conference 2023React Advanced Conference 2023
33 min
React Compiler - Understanding Idiomatic React (React Forget)
React provides a contract to developers- uphold certain rules, and React can efficiently and correctly update the UI. In this talk we'll explore these rules in depth, understanding the reasoning behind them and how they unlock new directions such as automatic memoization. 
React Advanced Conference 2022React Advanced Conference 2022
30 min
Using useEffect Effectively
Top Content
Can useEffect affect your codebase negatively? From fetching data to fighting with imperative APIs, side effects are one of the biggest sources of frustration in web app development. And let’s be honest, putting everything in useEffect hooks doesn’t help much. In this talk, we'll demystify the useEffect hook and get a better understanding of when (and when not) to use it, as well as discover how declarative effects can make effect management more maintainable in even the most complex React apps.
React Summit 2022React Summit 2022
20 min
Routing in React 18 and Beyond
Top Content
Concurrent React and Server Components are changing the way we think about routing, rendering, and fetching in web applications. Next.js recently shared part of its vision to help developers adopt these new React features and take advantage of the benefits they unlock.In this talk, we’ll explore the past, present and future of routing in front-end applications and discuss how new features in React and Next.js can help us architect more performant and feature-rich applications.
React Advanced Conference 2021React Advanced Conference 2021
27 min
(Easier) Interactive Data Visualization in React
Top Content
If you’re building a dashboard, analytics platform, or any web app where you need to give your users insight into their data, you need beautiful, custom, interactive data visualizations in your React app. But building visualizations hand with a low-level library like D3 can be a huge headache, involving lots of wheel-reinventing. In this talk, we’ll see how data viz development can get so much easier thanks to tools like Plot, a high-level dataviz library for quick & easy charting, and Observable, a reactive dataviz prototyping environment, both from the creator of D3. Through live coding examples we’ll explore how React refs let us delegate DOM manipulation for our data visualizations, and how Observable’s embedding functionality lets us easily repurpose community-built visualizations for our own data & use cases. By the end of this talk we’ll know how to get a beautiful, customized, interactive data visualization into our apps with a fraction of the time & effort!

Workshops on related topic

React Summit 2023React Summit 2023
170 min
React Performance Debugging Masterclass
Featured WorkshopFree
Ivan’s first attempts at performance debugging were chaotic. He would see a slow interaction, try a random optimization, see that it didn't help, and keep trying other optimizations until he found the right one (or gave up).
Back then, Ivan didn’t know how to use performance devtools well. He would do a recording in Chrome DevTools or React Profiler, poke around it, try clicking random things, and then close it in frustration a few minutes later. Now, Ivan knows exactly where and what to look for. And in this workshop, Ivan will teach you that too.
Here’s how this is going to work. We’ll take a slow app → debug it (using tools like Chrome DevTools, React Profiler, and why-did-you-render) → pinpoint the bottleneck → and then repeat, several times more. We won’t talk about the solutions (in 90% of the cases, it’s just the ol’ regular useMemo() or memo()). But we’ll talk about everything that comes before – and learn how to analyze any React performance problem, step by step.
(Note: This workshop is best suited for engineers who are already familiar with how useMemo() and memo() work – but want to get better at using the performance tools around React. Also, we’ll be covering interaction performance, not load speed, so you won’t hear a word about Lighthouse 🤐)
React Advanced Conference 2021React Advanced Conference 2021
132 min
Concurrent Rendering Adventures in React 18
Top Content
Featured WorkshopFree
With the release of React 18 we finally get the long awaited concurrent rendering. But how is that going to affect your application? What are the benefits of concurrent rendering in React? What do you need to do to switch to concurrent rendering when you upgrade to React 18? And what if you don’t want or can’t use concurrent rendering yet?

There are some behavior changes you need to be aware of! In this workshop we will cover all of those subjects and more.

Join me with your laptop in this interactive workshop. You will see how easy it is to switch to concurrent rendering in your React application. You will learn all about concurrent rendering, SuspenseList, the startTransition API and more.
React Summit Remote Edition 2021React Summit Remote Edition 2021
177 min
React Hooks Tips Only the Pros Know
Top Content
Featured Workshop
The addition of the hooks API to React was quite a major change. Before hooks most components had to be class based. Now, with hooks, these are often much simpler functional components. Hooks can be really simple to use. Almost deceptively simple. Because there are still plenty of ways you can mess up with hooks. And it often turns out there are many ways where you can improve your components a better understanding of how each React hook can be used.You will learn all about the pros and cons of the various hooks. You will learn when to use useState() versus useReducer(). We will look at using useContext() efficiently. You will see when to use useLayoutEffect() and when useEffect() is better.
React Advanced Conference 2021React Advanced Conference 2021
174 min
React, TypeScript, and TDD
Top Content
Featured WorkshopFree
ReactJS is wildly popular and thus wildly supported. TypeScript is increasingly popular, and thus increasingly supported.

The two together? Not as much. Given that they both change quickly, it's hard to find accurate learning materials.

React+TypeScript, with JetBrains IDEs? That three-part combination is the topic of this series. We'll show a little about a lot. Meaning, the key steps to getting productive, in the IDE, for React projects using TypeScript. Along the way we'll show test-driven development and emphasize tips-and-tricks in the IDE.
React Advanced Conference 2021React Advanced Conference 2021
145 min
Web3 Workshop - Building Your First Dapp
Top Content
Featured WorkshopFree
In this workshop, you'll learn how to build your first full stack dapp on the Ethereum blockchain, reading and writing data to the network, and connecting a front end application to the contract you've deployed. By the end of the workshop, you'll understand how to set up a full stack development environment, run a local node, and interact with any smart contract using React, HardHat, and Ethers.js.
React Summit 2023React Summit 2023
151 min
Designing Effective Tests With React Testing Library
Featured Workshop
React Testing Library is a great framework for React component tests because there are a lot of questions it answers for you, so you don’t need to worry about those questions. But that doesn’t mean testing is easy. There are still a lot of questions you have to figure out for yourself: How many component tests should you write vs end-to-end tests or lower-level unit tests? How can you test a certain line of code that is tricky to test? And what in the world are you supposed to do about that persistent act() warning?
In this three-hour workshop we’ll introduce React Testing Library along with a mental model for how to think about designing your component tests. This mental model will help you see how to test each bit of logic, whether or not to mock dependencies, and will help improve the design of your components. You’ll walk away with the tools, techniques, and principles you need to implement low-cost, high-value component tests.
Table of contents- The different kinds of React application tests, and where component tests fit in- A mental model for thinking about the inputs and outputs of the components you test- Options for selecting DOM elements to verify and interact with them- The value of mocks and why they shouldn’t be avoided- The challenges with asynchrony in RTL tests and how to handle them
Prerequisites- Familiarity with building applications with React- Basic experience writing automated tests with Jest or another unit testing framework- You do not need any experience with React Testing Library- Machine setup: Node LTS, Yarn