Sto usando crack lib per controllare la forza della password per la mia applicazione web. Tuttavia, sono preoccupato che la mia attuale implementazione sia sicura o meno.
L'utente inserisce una password, che viene quindi eseguita attraverso il seguente codice node.js:
var checkPassword = exec('echo "'+password+ '"| cracklib-check\n', function(err, stdout, stderr) {
if (stderr) {
reject(stderr);
} else if (err) {
reject(err);
} else if (stdout) {
resolve(stdout);
} else {
reject('Password Validation Failed');
}
});
perché la password è concatenata nel comando, sembra un attacco il più possibile, un po 'come l'iniezione SQL. Questo approccio è sicuro e, in caso negativo, come lo risolvo? Se fossi in una lista nera di virgolette doppie, eviterei tutti i potenziali problemi?