10 gereedskap om NodJS-toepassings te beveilig teen aanlynbedreigings

Node.js, een van die voorste JavaScript-runtime, vang geleidelik markaandeel in.


As enigiets gewild raak in tegnologieë, word dit blootgestel aan miljoene professionele persone, insluitend sekuriteitskenners, aanvallers, hackers, ens.

‘N Node.js-kern is veilig, maar as u pakkette van derdepartye installeer, kan die manier waarop u die konfigurasie, installering en ontplooiing ekstra sekuriteit verg om webtoepassings teen die hacker te beskerm. Om ‘n idee te kry, 83% van Snyk-gebruikers het een of meer kwesbaarhede in hul toepassing gevind. Snyk is een van die gewilde platform vir node.js-beveiligingsskandering.

En nog een nuutste navorsing programme ~ 14% van die hele npm-ekosisteem is beïnvloed.

In my vorige artikel het ek genoem hoe om beveiligings kwesbaarhede in ‘n Node.js-toepassing te vind, en baie van u het gevra om dit op te stel / te beveilig.

So hier gaan jy …

Sqreen

Begin dit binne minder as 5 minute, Sqreen word binne u kode ontplooi om u aansoek en gebruikers teen indringers te beskerm, aanvaller.

Sqreen is ‘n liggewig middel gebou vir prestasie om volledige sekuriteit te bied, insluitend die volgende.

  • SQL / No-SQL / Code / Command inspuitings
  • Owasp Top 10
  • Steekaanvalle oor die hele webwerf
  • Nul-dag aanvalle

Nie net Node.js nie, maar dit ondersteun ook Python, Ruby, PHP.

Sqreen gebruik kollektiewe intelligensie om ‘n vroeë aanval op te spoor deur gebruik te maak van data van ander toepassings.

Snyk

Snyk kan geïntegreer word in GitHub, Jenkins, Circle CI, Tarvis, Code Ship, Bamboo om die bekende kwesbaarhede te vind en op te los.

U kan die afhanklikheid van u toepassings sigbaar maak en intydse waarskuwings monitor wanneer risiko’s in u kode voorkom.

Op ‘n hoë vlak bied Snyk volledige beveiliging, insluitend die volgende.

  • Vind kwesbaarhede in die kode
  • Monitor kode intyds
  • Stel die kwesbare afhanklikhede reg
  • Laat weet wanneer ‘n nuwe swakheid u aansoek beïnvloed
  • Werk saam met u spanlede

Snyk handhaaf sy eie kwesbaarheid databasis, en tans ondersteun dit Node.js, Ruby, Scala en Python.

Templarbit

Templarbit ondersteun integrasie met Node.js, Django, Ruby on Rails, Nginx om te beskerm teen aanvalle op toepassings.

Dit fokus op die beskerming van die volgende.

  • Clickjacking-aanvalle
  • Inspuitings aanvalle
  • Steekaanvalle oor die hele webwerf
  • Sensitiewe blootstelling aan data
  • Oorname van rekeninge
  • Laag 7 DDoS

U kan pasgemaakte reëls skep met die slim handeling om uit te voer vir gevorderde beskerming. Dit kan wees as daar gereeld aanmeldfoute opgemerk word, en dan IP blok en ‘n e-pos stuur.

Wolkflits WAF

Wolkflits WAF (Web Application Firewall) beskerm u webtoepassings teen die wolk (netwerkrand). U hoef niks in u nodustoepassing te installeer nie.

Daar is drie soorte WAF-reëls jy kry.

  • OWASP – om ‘n toepassing teen OWASP top 10 kwesbaarhede te beskerm
  • Aangepaste reëls – u kan die reël definieer
  • Cloudflare-aanbiedinge – Reëls gedefinieër deur Cloudflare gebaseer op die toepassing.

Deur Cloudflare te gebruik, voeg u geen sekuriteit by u webwerf nie, maar trek u ook voordeel daaruit vinnige CDN vir beter inhoudlewering.

Cloudflare WAF is beskikbaar in die Pro-plan, wat $ 20 per maand kos.

Nog ‘ wolk-gebaseerde sekuriteitsverskaffer opsie sou wees SUCURI, ‘n volledige oplossing vir webwerwe om te beskerm teen DDoS, wanware, bekende kwesbaarhede, ens.

Jscrambler

Jscrambler neem ‘n interessante, unieke benadering kode te verskaf & integriteit van die webblad aan die kliënt.

Jscrambler maak u webtoepassing self-verdediging om met bedrog te veg, kodewysiging te voorkom in tydsduur, lekkasie van data en beskerming teen reputasieverlies en besigheid.

‘N Ander opwindende kenmerk is toepassingslogika, en data word op so ‘n manier getransformeer dat dit moeilik is om aan die kliënt se kant te verstaan ​​en weg te steek. Dit maak dit moeilik om die algoritme, tegnologieë wat in die toepassing gebruik word, te raai.

Sommige van die Jscrambler-items bevat die volgende.

  • Intydse opsporing, kennisgewing & beskerming
  • Beskerming teen kode-inspuiting, DOM-peuter, man-in-die-blaaier, bots, aanvalle op nul dae
  • Geloofsbriewe, kredietkaart, privaat voorkoming van dataverlies
  • Voorkoming van kwaadwillige inspuiting

Probeer dus probeer om jou eie te maak JavaScript-toepassing koeëlvast.

Lusca

Lusca is ‘n sekuriteitsmodule vir uit te druk om veilige kop vir OWASP beste praktyke te bied.

‘N Ander opsie sou wees helmet om opskrifte soos CSP, HPKP, HSTS, NoSniff, XSS, DNS Prefetch, ens. te implementeer.

Tarieflimiet buigsaam

Gebruik hierdie klein pakkie om die tempo te beperk en ‘n funksie op die gebeurtenis te aktiveer. Dit is handig om te beskerm teen aanvalle teen DDoS en brute magte.

Sommige van die gebruiksgevalle is soos hieronder.

  • Aanmelding eindpunt beskerming
  • Beperking van kruiper / bot
  • In-geheue blok strategie
  • Dinamiese blok gebaseer op die gebruiker se optrede
  • Koersbeperking per IP
  • Blokkeer te veel aanmeldpogings

Vra jy jouself af of dit die toepassing sal vertraag??

Nee, jy sal dit nie eers agterkom nie. Dit is vinnig, voeg die gemiddelde versoek by 0.7ms in die klusteromgewing.

N | Solid

N | Solid is ‘n platform om ‘n kritiese Node.js-toepassing te bedryf.

Dit het ingeboude reële-tyd skandering van kwesbaarheid en pasgemaakte sekuriteitsbeleide vir verbeterde toepassingsekuriteit. U kan opstel om ‘n waarskuwing te kry wanneer ‘n nuwe beveiligingslek in die Nodejs-toepassings opgespoor word.

CSURF

Voeg CSRF-beskerming by deur dit te implementeer csurf. Dit verg eers ‘n sessie-middelware of koekie-ontleder.

intrinsieke

Beskerm teen kwaadwillige kode en aanvalle op geen dae.

intrinsieke werk op die minste voorregte filosofie, wat sinvol is. Om dit aan die gang te kry, moet u net hul biblioteke insluit en die beleide skryf vir u toepassingssekuriteit. U kan ‘n beleid in JavaScript DSL skryf.

Goeie nuus as u bedienerslose funksies gebruik, ondersteun dit AWS Lambda, Azure Functions en Google Cloud Functions.

Afsluiting

Ek hoop dat die bogenoemde lys van beveiliging u help beveilig u NodeJS-toepassing. Dit is nie spesifiek vir Nodejs nie, maar u kan ook probeer StackPath WAF om u volledige aansoek teen aanlynbedreigings en DDoS-aanvalle te beskerm.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map