10 εργαλεία για την ασφάλεια της εφαρμογής NodJS από διαδικτυακές απειλές

Το Node.js, ένας από τους κορυφαίους χρόνους εκτέλεσης JavaScript, καταγράφει σταδιακά το μερίδιο αγοράς.


Όταν τίποτα γίνει δημοφιλές στις τεχνολογίες, εκτίθενται σε εκατομμύρια επαγγελματίες, συμπεριλαμβανομένων εμπειρογνωμόνων ασφαλείας, επιτιθέμενων, χάκερ κ.λπ..

Ένας πυρήνας node.js είναι ασφαλής, αλλά όταν εγκαθιστάτε πακέτα τρίτων, ο τρόπος διαμόρφωσης, εγκατάστασης και ανάπτυξης ενδέχεται να απαιτεί πρόσθετη ασφάλεια για την προστασία εφαρμογών ιστού από τον εισβολέα. Για να πάρετε μια ιδέα, 83% των χρηστών του Snyk βρήκαν μία ή περισσότερες ευπάθειες στην εφαρμογή τους. Το Snyk είναι μία από τις δημοφιλείς πλατφόρμες σάρωσης ασφαλείας node.js.

Και ένας άλλος τελευταία έρευνα παραστάσεις ~ 14% του συνόλου του οικοσυστήματος npm επηρεάστηκε.

Στο προηγούμενο άρθρο μου, ανέφερα πώς να βρω ευπάθειες ασφαλείας σε μια εφαρμογή Node.js και πολλοί από εσάς ρωτήσατε σχετικά με την αποκατάσταση / προστασία τους.

Ορίστε λοιπόν …

Sqreen

Ξεκινήστε σε λιγότερο από 5 λεπτά, Sqreen αναπτύσσεται στον κώδικά σας για την προστασία της εφαρμογής και των χρηστών σας από εισβολές, εισβολείς.

Η Sqreen είναι ένας ελαφρύς παράγοντας χτισμένο για απόδοση για να παρέχει πλήρη ασφάλεια, συμπεριλαμβανομένων των παρακάτω.

  • SQL / No-SQL / Code / Command ενέσεις
  • Owasp Top 10
  • Επιθέσεις σεναρίων μεταξύ ιστότοπων
  • Μηδενικές επιθέσεις

Όχι μόνο το Node.js, αλλά υποστηρίζει επίσης Python, Ruby, PHP.

Το Sqreen χρησιμοποιεί συλλογική νοημοσύνη για να εντοπίσετε μια πρώιμη επίθεση εκμεταλλευόμενοι δεδομένα που προέρχονται από άλλες εφαρμογές.

Σνυκ

Σνυκ μπορεί να ενσωματωθεί σε GitHub, Jenkins, Circle CI, Tarvis, Code Ship, Bamboo για εύρεση και επίλυση των γνωστών τρωτών σημείων.

Μπορείτε να αποκτήσετε ορατότητα των εξαρτήσεων της εφαρμογής σας και να παρακολουθείτε ειδοποιήσεις σε πραγματικό χρόνο όταν εντοπίζεται κίνδυνος στον κωδικό σας.

Σε υψηλό επίπεδο, η Snyk παρέχει πλήρη προστασία ασφάλειας, συμπεριλαμβανομένων των παρακάτω.

  • Εύρεση ευπαθειών στον κώδικα
  • Παρακολούθηση κώδικα σε πραγματικό χρόνο
  • Διορθώστε τις ευάλωτες εξαρτήσεις
  • Λάβετε ειδοποιήσεις όταν νέα αδυναμία επηρεάζει την αίτησή σας
  • Συνεργαστείτε με τα μέλη της ομάδας σας

Η Snyk διατηρεί τη δική της βάση δεδομένων ευπάθειας, και προς το παρόν, υποστηρίζει Node.js, Ruby, Scala και Python.

Templarbit

Templarbit Υποστήριξη ενοποίησης με Node.js, Django, Ruby on Rails, Nginx για προστασία από επιθέσεις εφαρμογών.

Επικεντρώνεται στην προστασία από τα ακόλουθα.

  • Επιθέσεις με κλικ
  • Επιθέσεις με ένεση
  • Επιθέσεις σεναρίων μεταξύ ιστότοπων
  • Ευαίσθητη έκθεση δεδομένων
  • Εξαγορά λογαριασμού
  • Επίπεδο 7 DDoS

Μπορείτε να δημιουργήσετε προσαρμοσμένους κανόνες με την έξυπνη ενέργεια για εκτέλεση για προηγμένη προστασία. Αυτό θα μπορούσε να είναι σαν αν εντοπιστεί συχνή αποτυχία σύνδεσης, στη συνέχεια μπλοκάρετε IP και στείλτε email.

Cloudflare WAF

Cloudflare WAF (Τείχος προστασίας εφαρμογών ιστού) προστατεύουν τις εφαρμογές ιστού σας από το σύννεφο (άκρη δικτύου). Δεν χρειάζεται να εγκαταστήσετε τίποτα στην εφαρμογή κόμβου.

Υπάρχουν τρεις τύποι κανόνων WAF παίρνεις.

  • OWASP – για την προστασία μιας εφαρμογής από τις κορυφαίες 10 ευπάθειες του OWASP
  • Προσαρμοσμένοι κανόνες – μπορείτε να ορίσετε τον κανόνα
  • Cloudflare προσφορές – Κανόνες που ορίζονται από το Cloudflare βάσει της εφαρμογής.

Χρησιμοποιώντας το Cloudflare, δεν προσθέτετε ασφάλεια στον ιστότοπό σας, αλλά εκμεταλλεύεστε επίσης τον ιστότοπό σας γρήγορο CDN για καλύτερη παράδοση περιεχομένου.

Το Cloudflare WAF είναι διαθέσιμο στο πρόγραμμα Pro, το οποίο κοστίζει 20 $ ανά μήνα.

Αλλο πάροχος ασφαλείας που βασίζεται σε σύννεφο επιλογή θα ήταν SUCURI, μια ολοκληρωμένη λύση ασφάλειας ιστότοπου για προστασία από DDoS, κακόβουλο λογισμικό, γνωστά τρωτά σημεία κ.λπ..

Jscrambler

Jscrambler παίρνει ένα ενδιαφέρουσα, μοναδική προσέγγιση για την παροχή κωδικού & ακεραιότητα ιστοσελίδας από την πλευρά του πελάτη.

Η Jscrambler κάνει την εφαρμογή ιστού σας αυτοάμυνα για την καταπολέμηση της απάτης, την αποφυγή τροποποίησης κώδικα στο χρόνο εκτέλεσης, τη διαρροή δεδομένων και την προστασία από απώλεια φήμης και επιχειρήσεις.

Ένα άλλο συναρπαστικό χαρακτηριστικό είναι η λογική της εφαρμογής και τα δεδομένα μεταμορφώνονται με τέτοιο τρόπο ώστε είναι δύσκολο να κατανοηθεί και να κρυφτεί από την πλευρά του πελάτη. Αυτό καθιστά δύσκολο να μαντέψει κανείς τον αλγόριθμο, τις τεχνολογίες που χρησιμοποιούνται στην εφαρμογή.

Μερικά από τα χαρακτηριστικά του Jscrambler περιλαμβάνουν τα ακόλουθα.

  • Ανίχνευση σε πραγματικό χρόνο, ειδοποίηση & ΠΡΟΣΤΑΣΙΑ
  • Προστασία από έγχυση κώδικα, παραβίαση DOM, man-in-the-browser, bots, επιθέσεις μηδενικής ημέρας
  • Διαπιστευτήρια, πιστωτική κάρτα, αποτροπή απώλειας προσωπικών δεδομένων
  • Πρόληψη ένεσης κακόβουλου λογισμικού

Προχωρήστε λοιπόν και δοκιμάστε να φτιάξετε το δικό σας Εφαρμογή JavaScript χωρίς κουκκίδες.

Λούσκα

Λούσκα είναι μια ενότητα ασφαλείας για εξπρές για την παροχή ασφαλούς κεφαλίδας βέλτιστων πρακτικών του OWASP.

Μια άλλη επιλογή θα ήταν Κράνος για την εφαρμογή κεφαλίδων όπως CSP, HPKP, HSTS, NoSniff, XSS, DNS Prefetch κ.λπ..

Όριο τιμής ευέλικτο

Χρησιμοποίησε αυτό μικροσκοπικό πακέτο για να περιορίσετε το ρυθμό και να ενεργοποιήσετε μια συνάρτηση στο συμβάν. Αυτό θα είναι βολικό για προστασία από επιθέσεις DDoS και brute force.

Μερικές από τις περιπτώσεις χρήσης θα ήταν όπως παρακάτω.

  • Προστασία τελικού σημείου σύνδεσης
  • Περιορισμός ρυθμού ανίχνευσης / bot
  • Στρατηγική μπλοκ στη μνήμη
  • Δυναμικό μπλοκ με βάση την ενέργεια του χρήστη
  • Περιορισμός ποσοστών κατά IP
  • Αποκλεισμός πάρα πολλών προσπαθειών σύνδεσης

Αναρωτιέστε αν αυτό θα επιβραδύνει την εφαρμογή?

Όχι, δεν θα το παρατηρήσεις καν. Είναι γρήγορο, προσθέτει το μέσο αίτημα 0,7 χιλ στο περιβάλλον συμπλέγματος.

Ν | Στερεό

Ν | Στερεό είναι μια πλατφόρμα για την εκτέλεση μιας κριτικής εφαρμογής Node.js.

Διαθέτει ενσωματωμένη σάρωση ευπάθειας σε πραγματικό χρόνο και προσαρμοσμένες πολιτικές ασφαλείας για βελτιωμένη ασφάλεια εφαρμογών. Μπορείτε να διαμορφώσετε ώστε να λαμβάνετε ειδοποίηση όταν εντοπίζεται μια νέα ευπάθεια ασφαλείας στις εφαρμογές Nodejs.

ΚΕΡΚΥΡΑ

Προσθέστε προστασία CSRF εφαρμόζοντας ιστιοσανίδα. Απαιτείται πρώτα η προετοιμασία ενός ενδιάμεσου λογισμικού ή ενός προγράμματος ανάλυσης cookie.

Εσωτερικός

Προστατέψτε από κακόβουλο κώδικα και επιθέσεις μηδενικής ημέρας.

Εσωτερικός λειτουργεί με φιλοσοφία τουλάχιστον προνομίων, κάτι που έχει νόημα. Για να ξεκινήσετε, απλά πρέπει να συμπεριλάβετε τις βιβλιοθήκες τους και να γράψετε τις πολιτικές για την ασφάλεια της εφαρμογής σας. Μπορείτε να συντάξετε μια πολιτική σε JavaScript DSL.

Καλά νέα αν χρησιμοποιείτε λειτουργίες χωρίς διακομιστή, υποστηρίζει AWS Lambda, Azure Functions και Google Cloud Functions.

συμπέρασμα

Ελπίζω ότι η παραπάνω λίστα προστασίας ασφαλείας θα σας βοηθήσει ασφαλίστε την εφαρμογή NodeJS. Δεν αφορά συγκεκριμένα τα Nodejs, αλλά μπορεί επίσης να θέλετε να δοκιμάσετε StackPath WAF για να προστατεύσετε ολόκληρη την εφαρμογή σας από διαδικτυακές απειλές και επιθέσεις DDoS.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector