10 nástrojov na zabezpečenie aplikácie NodJS pred online hrozbami

Node.js, jeden z popredných runtime JavaScriptov, postupne získava podiel na trhu.


Keď sa čokoľvek v technológiách stane populárnym, sú vystavené miliónom profesionálov vrátane odborníkov na bezpečnosť, útočníkov, hackerov atď.

Jadro uzla node.js je bezpečné, ale pri inštalácii balíkov tretích strán môže spôsob konfigurácie, inštalácie a nasadenia vyžadovať ďalšie zabezpečenie na ochranu webových aplikácií pred hackerom. Získať nápad, 83% používateľov Snyk našlo vo svojej aplikácii jednu alebo viac zraniteľností. Snyk je jednou z populárnych bezpečnostných skenovacích platforiem node.js.

A ďalší najnovší výskum relácie Bolo ovplyvnených ~ 14% celého npm ekosystému.

V mojom predchádzajúcom článku som sa zmienil o tom, ako nájsť chyby zabezpečenia v aplikácii Node.js, a mnohí z vás sa pýtali na ich nápravu / zabezpečenie..

Takže tu máte …

Sqreen

Začíname za menej ako 5 minút, Sqreen je nasadený vo vašom kóde na ochranu vašej aplikácie a používateľov pred prienikmi, útočníkmi.

Sqreen je ľahký agent postavený pre výkon poskytnúť úplnú bezpečnosť vrátane nasledujúcich.

  • Injekcie SQL / No-SQL / Code / Command
  • Owasp Top 10
  • Útoky skriptovania naprieč stránkami
  • Nulové útoky

Nielen Node.js, ale podporuje aj Python, Ruby, PHP.

Sqreen používa kolektívna inteligencia na detekciu skorého útoku využitím údajov pochádzajúcich z iných aplikácií.

Snyk

Snyk možno integrovať do služieb GitHub, Jenkins, Circle CI, Tarvis, Code Ship, Bamboo a vyhľadať a opraviť známe zraniteľné miesta.

Ak sa v kóde zistí riziko, môžete získať prehľad o závislostiach od vašej aplikácie a monitorovať upozornenia v reálnom čase.

Na vysokej úrovni poskytuje Snyk úplnú bezpečnostnú ochranu vrátane nasledujúcich.

  • Hľadanie slabých miest v kóde
  • Monitorujte kód v reálnom čase
  • Opravte zraniteľné závislosti
  • Dostanete upozornenie, keď nové slabiny ovplyvnia vašu aplikáciu
  • Spolupracujte so svojimi členmi tímu

Snyk si udržuje svoje vlastné databáza zraniteľností, av súčasnosti podporuje súbory Node.js, Ruby, Scala a Python.

Templarbit

Templarbit podporuje integráciu s Node.js, Django, Ruby on Rails, Nginx na ochranu pred útokmi aplikácií.

Zameriava sa na ochranu pred nasledujúcimi.

  • Clickjacking útoky
  • Injekčné útoky
  • Útoky skriptovania naprieč stránkami
  • Citlivé vystavenie údajom
  • Prevzatie účtu
  • Vrstva 7 DDoS

Pomocou inteligentnej akcie môžete vytvoriť vlastné pravidlá, ktoré sa vykonajú kvôli rozšírenej ochrane. Môže to byť napríklad v prípade zistenia častého zlyhania prihlásenia, potom zablokujte IP a pošlite e-mail.

Cloudflare WAF

Cloudflare WAF (Web Application Firewall) chráni vaše webové aplikácie pred cloudom (okrajom siete). Vo vašej uzlovej aplikácii nemusíte nič inštalovať.

Existujú tri typy pravidiel WAF dostanete.

  • OWASP – na ochranu aplikácie pred 10 najčastejšími chybami OWASP
  • Vlastné pravidlá – môžete definovať pravidlo
  • Špeciality Cloudflare – pravidlá definované aplikáciou Cloudflare.

Využívaním služby Cloudflare nepridáte na svoje stránky bezpečnosť, ale tiež ich využívate rýchly CDN pre lepšie doručenie obsahu.

Cloudflare WAF je k dispozícii v Pro pláne, ktorý stojí 20 dolárov mesačne.

Ďalší poskytovateľ zabezpečenia v cloude voľba by bola Šučur, kompletné riešenie zabezpečenia webu na ochranu pred DDoS, malvérom, známymi zraniteľnými miestami atď.

Jscrambler

Jscrambler trvá zaujímavý, jedinečný prístup poskytnúť kód & integrita webovej stránky na strane klienta.

Jscrambler vytvorí vašu webovú aplikáciu self-obranný bojovať proti podvodom, vyhnúť sa úpravám kódu za behu, úniku údajov a chrániť pred stratou dobrého mena a obchodom.

Ďalšou zaujímavou funkciou je aplikačná logika a údaje sú transformované takým spôsobom, že je ťažké ich na strane klienta pochopiť a skryť. Preto je ťažké uhádnuť algoritmus, technológie použité v aplikácii.

Niektoré z ponúkaných hier Jscrambler zahŕňajú nasledujúce.

  • Detekcia v reálnom čase, oznámenie & ochrana
  • Ochrana pred vstrekovaním kódu, neoprávneným zásahom do DOM, prehliadačom typu človek v prehliadači, robotmi, útokmi v nulové dni
  • Poverenie, kreditná karta, prevencia straty súkromných údajov
  • Predchádzanie škodlivému softvéru

Tak choďte do toho a skúste si vyrobiť svoj Nepriestrelná aplikácia JavaScriptu.

Lusca

Lusca je bezpečnostný modul pre Windows XP expresné poskytnúť zabezpečenú hlavičku osvedčených postupov OWASP.

Ďalšou možnosťou by bolo helma implementovať hlavičky ako CSP, HPKP, HSTS, NoSniff, XSS, DNS Prefetch atď..

Cenový limit flexibilný

Použi toto malý balík obmedziť rýchlosť a spustiť funkciu udalosti. Toto bude užitočné chrániť pred útokmi DDoS a brutálnymi silami.

Niektoré prípady použitia sú uvedené nižšie.

  • Ochrana koncového bodu prihlásenia
  • Obmedzenie rýchlosti prehľadávača / bota
  • Stratégia blokovania v pamäti
  • Dynamický blok založený na akcii používateľa
  • Obmedzenie rýchlosti podľa IP
  • Zablokujte príliš veľa pokusov o prihlásenie

Zaujíma vás, či to spomalí aplikáciu?

Nie, to si ani nevšimnete. Je rýchla, priemerná požiadavka sa pridá 0.7ms v prostredí klastra.

N | Solid

N | Solid je platforma na spustenie kritickej aplikácie Node.js misie.

Má zabudované skenovanie zraniteľností v reálnom čase a vlastné bezpečnostné politiky na zvýšenie bezpečnosti aplikácií. Môžete nakonfigurovať, aby vás upozornil, keď sa v aplikáciách Nodejs zistí nová bezpečnostná zraniteľnosť.

CSURF

Implementáciou ochrany pridajte CSRF ochranu csurf. Vyžaduje sa, aby sa najprv inicializoval middlevér relácie alebo analyzátor súborov cookie.

vnútorné

Chráňte pred škodlivým kódom a útokmi v nultý deň.

vnútorné pracuje na filozofii najmenej privilégií, čo dáva zmysel. Ak chcete začať, stačí zahrnúť ich knižnice a napísať zásady zabezpečenia vašej aplikácie. Politiku môžete napísať do jazyka JavaScript DSL.

Dobrá správa, ak používate funkcie bez serverov, podporuje AWS Lambda, Azure Functions a Google Cloud Functions.

záver

Dúfam, že vám vyššie uvedený zoznam bezpečnostných opatrení pomôže zabezpečte svoju aplikáciu NodeJS. Nie je to konkrétne pre Nodejsa, ale môžete skúsiť aj vyskúšať StackPath WAF chrániť celú svoju aplikáciu pred online hrozbami a útokmi DDoS.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map