10 eines per protegir l’aplicació NodJS de les amenaces en línia

Node.js, un dels màxims temps d’execució de JavaScript, capta la quota de mercat de forma gradual.


Quan qualsevol cosa es popularitza en tecnologies, queden exposats a milions de professionals, inclosos experts en seguretat, atacants, pirates informàtics, etc..

Un nucli node.js és segur, però quan instal·leu paquets de tercers, la forma de configurar, instal·lar i desplegar pot requerir seguretat addicional per protegir les aplicacions web del pirata informàtic. Per fer-ne una idea, 83% dels usuaris de Snyk han trobat una o més vulnerabilitats a la seva aplicació. Snyk és una de les populars plataformes d’exploració de seguretat node.js.

I una altra darreres investigacions mostra ~ El 14% de tot l’ecosistema npm es va veure afectat.

Al meu article anterior, he esmentat com es poden trobar vulnerabilitats de seguretat en una aplicació Node.js i molts de vosaltres us heu preguntat sobre com retirar-los / protegir-los.

Així que aquí aneu …

Quadrat

Inicieu-lo en menys de 5 minuts, Quadrat es desplega dins del vostre codi per protegir la vostra aplicació i usuaris contra intrusions, atacants.

Sqreen és un agent lleuger Creat per al rendiment per proporcionar una seguretat completa, inclosos els següents.

  • Injeccions SQL / No-SQL / Code / Command
  • Top 10 de Owasp
  • Atacs de script de llocs creuats
  • Atacs de dia zero

No només Node.js, sinó que també admet Python, Ruby, PHP.

Sqreen utilitza intel·ligència col·lectiva detectar un atac precoç aprofitant dades procedents d’altres aplicacions.

Snyk

Snyk es pot integrar a GitHub, Jenkins, Circle CI, Tarvis, Code Ship, Bambú per trobar i solucionar les vulnerabilitats conegudes.

Podeu obtenir visibilitat de les vostres dependències de l’aplicació i supervisar les alertes en temps real quan es trobi risc al vostre codi.

Snyk proporciona una protecció de seguretat completa, inclosa la següent.

  • Trobar vulnerabilitats al codi
  • Controlar el codi en temps real
  • Arreglar les dependències vulnerables
  • Notifiqueu-vos quan la nova debilitat afecti la vostra sol·licitud
  • Col·labora amb els membres del teu equip

Snyk manté el seu propi base de dades de vulnerabilitats, i actualment, és compatible amb Node.js, Ruby, Scala i Python.

Templarbit

Templarbit suport a la integració amb Node.js, Django, Ruby on Rails, Nginx per protegir-se dels atacs de les aplicacions.

Es centra en protegir-se dels següents.

  • Atacs de clic
  • Atacs per injecció
  • Atacs de script de llocs creuats
  • Exposició de dades sensibles
  • Adquisició del compte
  • Capa 7 DDoS

Podeu crear regles personalitzades amb l’acció intel·ligent que cal executar per a una protecció avançada. Això pot ser com si es detectés un error freqüent d’inici de sessió i, a continuació, bloquegeu la IP i envieu un correu electrònic.

Cloudflare WAF

Cloudflare WAF (Firewall per a aplicacions web) protegeixen les vostres aplicacions web del núvol (vora de la xarxa). No heu d’instal·lar res a l’aplicació de nodes.

N’hi ha tres tipus de regles WAF obtens.

  • OWASP: per protegir una aplicació de les 10 vulnerabilitats més importants d’OWASP
  • Regles personalitzades: podeu definir la regla
  • Especials de Cloudflare: regles definides per Cloudflare basades en l’aplicació.

En utilitzar Cloudflare, no afegiu seguretat al vostre lloc, sinó que en traieu avantatge CDN ràpid per a un millor lliurament de contingut.

Cloudflare WAF està disponible al pla Pro, que costa 20 dòlars al mes.

Un altre proveïdor de seguretat basat en núvol opció seria SUCURI, una solució completa de seguretat del lloc per protegir-se de DDoS, programari maliciós, vulnerabilitats conegudes, etc..

Jscrambler

Jscrambler pren un enfocament interessant i únic per proporcionar codi & integritat de la pàgina web del client.

Jscrambler fa la seva aplicació web autodefensiva per lluitar contra el frau, evitar la modificació del codi en temps d’execució, fugides de dades i protegir-vos de pèrdues i negocis reputacionals.

Una altra característica apassionant és la lògica de l’aplicació i les dades es transformen de manera que sigui difícil d’entendre i d’amagar-les del client. Això fa que sigui difícil endevinar l’algorisme, les tecnologies emprades en l’aplicació.

Alguns dels Jscrambler destacats inclouen el següent.

  • Detecció, notificació en temps real & protecció
  • Protecció contra la injecció de codi, la manipulació de DOM, la introducció del navegador, els robots, atacs de zero dies
  • Prevenció de la targeta de crèdit, targeta de crèdit i prevenció de pèrdues de dades privades
  • Prevenció d’injecció de programari maliciós

Així que endavant i prova de fer el teu A prova de vinyetes de l’aplicació JavaScript.

Lusca

Lusca és un mòdul de seguretat per a expressa per proporcionar una capçalera segura de bones pràctiques de OWASP.

Una altra opció seria Casc per implementar capçaleres com CSP, HPKP, HSTS, NoSniff, XSS, DNS Prefetch, etc..

Límit de tarifa flexible

Usa aixó paquet petit per limitar la velocitat i activar una funció a l’esdeveniment. Això serà útil per protegir-se de DDoS i atacs de força bruta.

Alguns dels casos d’ús es descriuen a continuació.

  • Protecció d’endpoint d’inici de sessió
  • Limitació de velocitat de rastreig / bot
  • Estratègia en bloc de memòria
  • Bloc dinàmic basat en l’acció de l’usuari
  • Limitació de tarifes per IP
  • Bloqueu massa intents d’inici de sessió

Es pregunta si això retardarà l’aplicació?

No, ni ho tindreu. La seva ràpida, afegeix la sol·licitud mitjana 0,7ms a l’entorn del clúster.

N | sòlid

N | sòlid és una plataforma per executar una aplicació de missió crítica Node.js.

S’han incorporat exploracions de vulnerabilitat en temps real i polítiques de seguretat personalitzades per millorar la seguretat de les aplicacions. Podeu configurar-vos per obtenir una alerta quan es detecti una vulnerabilitat de seguretat nova a les vostres aplicacions Nodejs.

CSURF

Afegiu la protecció CSRF mitjançant la implementació csurf. Cal inicialitzar primer un middleware de sessió o un cookie-parser.

Intrínsic

Protegiu-vos de codis maliciosos i atacs de zero dies.

Intrínsic treballa sobre filosofia de privilegis mínims, cosa que té sentit. Per començar, només heu d’incloure les seves biblioteques i escriure les polítiques de seguretat de l’aplicació. Podeu escriure una política en JavaScript DSL.

Una bona notícia si utilitzeu funcions sense servidor, és compatible amb AWS Lambda, Azure Funcions i Google Cloud Functions.

Conclusió

Espero que la llista anterior de protecció de seguretat us ajudi assegureu la vostra aplicació NodeJS. No és específic de Nodejs, però també és possible que vulgueu provar StackPath WAF per protegir tota la vostra aplicació de les amenaces en línia i dels atacs DDoS.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map