Node.js, один из ведущих JavaScript runtimes, постепенно захватывает долю рынка. Когда что-либо становится популярным в технологии, оно становится объектом внимания миллионов специалистов, включая экспертов по безопасности, злоумышленников, хакеров и т.д. Ядро node.js безопасно, но когда вы устанавливаете пакеты сторонних разработчиков, способ конфигурирования, установки и развертывания может потребовать дополнительной безопасности для защиты веб-приложений от хакеров. Чтобы получить представление, 83% пользователей Snyk нашли одну или несколько уязвимостей в своих приложениях. Snyk — одна из популярных платформ сканирования безопасности node.js. Другое последнее исследование показывает, что ~14% всей экосистемы npm были затронуты. В своей предыдущей статье я упоминал об обнаружении уязвимостей безопасности в приложениях Node.js, и многие из вас спрашивали об их устранении/защите.
Лучшие практики для улучшения безопасности Node JS
Ни один фреймворк, включая Node JS, не может быть назван на 100% безопасным. Следовательно, вы должны следовать этим практикам безопасности, чтобы избежать рисков:
- Регулярно регистрируйте и отслеживайте действия для обнаружения уязвимостей
- Не блокируйте цикл событий
- Используйте плоские цепочки Promise, чтобы избежать ошибок вложенного уровня
- Управляйте ошибками для предотвращения несанкционированных атак
- Используйте анти-CSRF токены в своих приложениях
- Остановите утечку данных, отправляя только необходимую информацию
- Правильно управляйте сеансами с помощью флагов cookie
- Контролируйте размер запроса для предотвращения DoS-атак
- Внедряйте правила управления доступом для каждого запроса
- Защищайтесь от уязвимостей веб-безопасности с помощью соответствующих заголовков безопасности
- Не используйте опасные функции ради стабильности приложения
- Используйте строгий режим, чтобы избежать ошибок и багов
Теперь мы рассмотрим лучшие инструменты для защиты приложений NodeJS.
Snyk
Snyk может быть интегрирован в GitHub, Jenkins, Circle CI, Tarvis, Code Ship и Bamboo для поиска и устранения известных уязвимостей. Вы можете понять зависимости вашего приложения и отслеживать оповещения в реальном времени, когда в коде обнаруживается риск.
На высоком уровне Snyk обеспечивает полную защиту безопасности, включая следующее:
- Поиск уязвимостей в коде
- Исправление уязвимых зависимостей
- Получайте уведомления, когда новая слабая сторона влияет на ваше приложение.
- Сотрудничайте с членами вашей команды
Snyk поддерживает собственную базу данных уязвимостей, и в настоящее время она поддерживает Node.js, Ruby, Scala, Python, PHP, .NET, Go и т.д.
Jscrambler
Jscrambler использует интересный, уникальный подход для обеспечения целостности кода и веб-страниц на стороне клиента.
Jscrambler делает ваше веб-приложение само-защищенным для борьбы с мошенничеством, позволяет избежать модификации кода во время выполнения и утечки данных, защищает от потери репутации и бизнеса. Еще одна интересная особенность — логика приложения и данные преобразуются таким образом, что их трудно понять и они скрыты на стороне клиента. Это затрудняет угадывание алгоритма, технологий, используемых в приложении.
Некоторые из функций Jscrambler включают следующее:
- Защита от инъекций кода, DOM-атаки, атак типа «человек в браузере», ботов, атак нулевого дня.
- Предотвращение потери учетных данных, кредитных карт, конфиденциальных данных
- Предотвращение инъекций вредоносного ПО
Jscrambler поддерживает большинство JavaScript-фреймворков, таких как Angular, Ionic, Meteor, Vue.js, React, Express, Socket, React, Koa и др.
Так что попробуйте, чтобы сделать ваше JavaScript-приложение пуленепробиваемым.
Cloudflare WAF
Cloudflare WAF (Web Application Firewall) защищает ваши веб-приложения из облака (на границе сети). Вам не нужно ничего устанавливать в вашем узловом приложении.
Существует три типа правил WAF:
- OWASP — для защиты приложения от 10 лучших уязвимостей OWASP.
- Специальные правила Cloudflare — правила, определяемые Cloudflare на основе приложения.
Используя Cloudflare, вы не добавляете безопасности своему сайту и пользуетесь преимуществами их быстрой CDN для лучшей доставки контента. Cloudflare WAF доступен в тарифном плане Pro, который стоит 20 долларов в месяц. Еще одним вариантом облачного поставщика услуг безопасности может стать SUCURI и StackPath — комплексное решение для защиты сайта от DDoS, вредоносного ПО, известных уязвимостей и т.д.
Helmet
Helmet — это промежуточное программное обеспечение для express и Koa для обеспечения безопасных заголовков, соответствующих лучшим практикам OWASP. Он позволяет реализовать такие заголовки HTTP-ответов, как HSTS, CSP, Referrer-Policy, Expect CT и т.д.
N|Solid
N|Solid — это готовая платформа для запуска критически важных приложений Node.js.
Он имеет встроенную функцию сканирования уязвимостей в реальном времени и пользовательские политики безопасности для повышения безопасности приложений. Вы можете настроить его на получение предупреждений при обнаружении новых уязвимостей в ваших Nodejs-приложениях.
Rate Limit Flexible
Используйте этот крошечный пакет для ограничения скорости и запуска функции по событию. Это будет удобно для защиты от DDoS и атак грубой силы.
Некоторые из примеров использования приведены ниже:
- Защита конечных точек входа
- Ограничение скорости краулера/бота
- Стратегия блоков в памяти
- Динамическая блокировка на основе действий пользователя
- Ограничение скорости по IP
- Блокирование слишком большого количества попыток входа
Интересно, замедлит ли это работу приложения? Нет, вы этого даже не заметите. Это быстро; средний запрос занимает 0,7 мс в кластерной среде.
CSURF
Добавьте защиту от CSRF, реализовав csurf. Для этого необходимо сначала инициализировать промежуточное ПО сессии или парсер cookie.
Заключение
Надеюсь, приведенный выше список средств защиты поможет вам обезопасить ваше NodeJS-приложение.
