Node.js, unul dintre cei mai importanți runtime JavaScript, captează treptat cota de piață.


Când ceva devine popular în tehnologii, aceștia sunt expuși la milioane de profesioniști, inclusiv experți în securitate, atacatori, hackeri, etc.

Un nucleu node.js este sigur, dar atunci când instalați pachete terțe, modul în care configurați, instalați și implementați poate necesita securitate suplimentară pentru a proteja aplicațiile web de hacker. Pentru a vă face o idee, 83% dintre utilizatorii Snyk au găsit una sau mai multe vulnerabilități în aplicația lor. Snyk este una dintre cele mai populare platforme de scanare a securității node.js.

Si altul cercetări de ultimă oră spectacole ~ 14% din întregul ecosistem npm a fost afectat.

În articolul precedent, am menționat cum puteți găsi vulnerabilitățile de securitate într-o aplicație Node.js și mulți dintre voi ați întrebat despre remedierea / securizarea acestora.

Deci, aici te duci …

Sqreen

Începeți-l în mai puțin de 5 minute, Sqreen este implementat în codul dvs. pentru a vă proteja aplicația și utilizatorii împotriva intruziunilor, atacator.

Sqreen este un agent ușor construit pentru performanță pentru a oferi securitate completă, inclusiv următoarele.

  • Injecții SQL / No-SQL / Code / Command
  • Top 10 din Owasp
  • Atacuri de scripturi între site-uri
  • Atacuri de zile zero

Nu doar Node.js, dar acceptă și Python, Ruby, PHP.

Sqreen folosește inteligența colectivă pentru a detecta un atac timpuriu profitând de datele care provin din alte aplicații.

Snyk

Snyk poate fi integrat în GitHub, Jenkins, Circle CI, Tarvis, Code Ship, Bamboo pentru a găsi și repara vulnerabilitățile cunoscute.

Puteți obține vizibilitate în funcție de dependențele dvs. de aplicație și de a monitoriza alertele în timp real atunci când există riscuri în codul dvs..

La nivel înalt, Snyk oferă o protecție completă de securitate, inclusiv următoarele.

  • Găsirea vulnerabilităților în cod
  • Monitorizați codul în timp real
  • Remediază dependențele vulnerabile
  • Fiți notificat când noua slăbiciune afectează aplicația
  • Colaborează cu membrii echipei tale

Snyk își menține propriile sale baza de date a vulnerabilităților, și în prezent, acceptă Node.js, Ruby, Scala și Python.

Templarbit

Templarbit sprijiniți integrarea cu Node.js, Django, Ruby on Rails, Nginx pentru a vă proteja de atacurile de aplicații.

Se concentrează pe protejarea de următoarele.

  • Atacuri de clicuri
  • Atacuri de injecție
  • Atacuri de scripturi între site-uri
  • Expunerea datelor sensibile
  • Preluarea contului
  • Strat 7 DDoS

Puteți crea reguli personalizate cu acțiunea inteligentă de executat pentru protecție avansată. Acest lucru ar putea fi ca în cazul în care este detectată o eroare de conectare frecventă, apoi blocați IP și trimiteți un e-mail.

Cloudflare WAF

Cloudflare WAF (Aplicația Web Firewall) vă protejează aplicațiile web de cloud (marginea rețelei). Nu trebuie să instalați nimic în aplicația de nod.

Sunt trei tipuri de reguli WAF primesti.

  • OWASP – pentru a proteja o aplicație de cele mai importante vulnerabilități OWASP 10
  • Reguli personalizate – puteți defini regula
  • Special Cloudflare – Reguli definite de Cloudflare bazate pe aplicație.

Folosind Cloudflare, nu adăugați securitate site-ului dvs., ci profitați de asemenea CDN rapid pentru o mai bună livrare de conținut.

Cloudflare WAF este disponibil în planul Pro, care costă 20 USD pe lună.

Un alt furnizor de securitate bazat pe cloud opțiunea ar fi Sucuri, o soluție completă de securitate a site-ului pentru a vă proteja de DDoS, malware, vulnerabilități cunoscute etc..

Jscrambler

Jscrambler ia un abordare interesantă, unică pentru a furniza cod & integritatea paginii web pe partea de client.

Jscrambler vă face aplicația web auto-defensiv pentru a lupta împotriva fraudei, pentru a evita modificarea codului în termen de execuție, scurgerea de date și pentru a vă proteja împotriva pierderilor reputaționale și de afaceri.

O altă caracteristică interesantă este logica aplicației, iar datele sunt transformate în așa fel încât este greu de înțeles și ascuns pe partea clientului. Acest lucru face dificilă ghicirea algoritmului, tehnologiilor utilizate în aplicație.

Unele dintre Jscrambler prezentate includ următoarele.

  • Detectare, notificare în timp real & protecţie
  • Protecție împotriva injectării de cod, manipulării DOM, a accesului în browser, a roboților, a atacurilor de zi zero
  • Credențial, card de credit, prevenirea pierderilor de date private
  • Prevenirea injecțiilor malware

Așa că mergeți mai departe și încercați să vă faceți Aplicație JavaScript rezistentă la glonț.

Lușca

Lușca este un modul de securitate pentru expres pentru a oferi antetul securizat al celor mai bune practici OWASP.

O altă opțiune ar fi Cască pentru a implementa anteturi precum CSP, HPKP, HSTS, NoSniff, XSS, DNS Prefetch, etc.

Limita de viteză flexibilă

Foloseste asta pachet minuscul pentru a limita rata și a declanșa o funcție la eveniment. Acest lucru va fi util pentru a fi protejat de DDoS și atacuri de forță brută.

Unele dintre cazurile de utilizare ar fi ca mai jos.

  • Protecția punctului de conectare
  • Limitarea ratei crawler / bot
  • Strategia blocului în memorie
  • Bloc dinamic bazat pe acțiunea utilizatorului
  • Limitarea ratelor de IP
  • Blocați prea multe încercări de conectare

Mă întreb dacă acest lucru va încetini aplicația?

Nu, nici nu vei observa asta. Se adaugă rapid, cererea medie 0.7ms în mediul cluster.

N | Solid

N | Solid este o platformă pentru a rula o aplicație Node.js critică pentru misiune.

S-au integrat scanarea vulnerabilității în timp real și politicile de securitate personalizate pentru securitatea îmbunătățită a aplicației. Puteți configura pentru a fi alertat atunci când este detectată o nouă vulnerabilitate de securitate în aplicațiile dvs. Nodejs.

CSURF

Adăugați protecția CSRF prin implementare csurf. Este necesar să fie inițializate mai întâi un middleware de sesiune sau un cookie-parser.

Intrinsec

Protejați-vă de codurile rău intenționate și de atacurile din ziua zero.

Intrinsec funcționează asupra filozofiei cel puțin privilegiate, ceea ce are sens. Pentru a începe, trebuie doar să includeți bibliotecile lor și să scrieți politicile pentru securitatea aplicației. Puteți scrie o politică în JavaScript DSL.

O veste bună dacă utilizați funcții Serverless, acesta acceptă AWS Lambda, Azure Functions și Google Cloud Functions.

Concluzie

Sper ca lista de mai sus de protecție de securitate să vă ajute asigurați-vă aplicația NodeJS. Nu este specific pentru Nodejs, dar poate doriți și să încercați StackPath WAF pentru a vă proteja întreaga aplicație de amenințări online și atacuri DDoS.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me