10 tæki til að tryggja NodJS forrit frá ógnum á netinu

Node.js, einn af leiðandi JavaScript afturkreistingum, er að ná markaðshlutdeild smám saman.


Þegar eitthvað verður vinsælt í tækni, verða þeir fyrir milljónum fagaðila, þar á meðal öryggissérfræðinga, árásarmanna, tölvusnápur osfrv.

Kjarni node.js er öruggur, en þegar þú setur upp þriðja aðila pakka getur leiðin til að setja upp, sett upp og dreift krafist aukins öryggis til að verja vefforrit frá tölvusnápnum. Til að fá hugmynd, 83% notenda Snyk fundu eina eða fleiri varnarleysi í umsókn sinni. Snyk er einn af vinsælustu pallinum fyrir öryggisskönnun á node.js.

Og annað nýjustu rannsóknir sýnir ~ 14% af öllu vistkerfi npm var fyrir áhrifum.

Í fyrri grein minni nefndi ég hvernig væri að finna öryggisleysi í Node.js forriti og mörg ykkar spurðu um að bæta úr / tryggja þau.

Svo hérna ferðu…

Sqreen

Byrjaðu það á innan við 5 mínútum, Sqreen er sent innan kóðans þíns til að vernda umsókn þína og notendur fyrir afskiptum, árásarmaður.

Sqreen er léttur umboðsmaður smíðaður fyrir afköst til að veita fullkomið öryggi, þar á meðal eftirfarandi.

  • SQL / No-SQL / Code / Command sprautur
  • Owasp Top 10
  • Handritsárásir á milli staða
  • Núll árásir

Ekki bara Node.js, heldur styður það Python, Ruby, PHP líka.

Sqreen notar sameiginleg upplýsingaöflun að greina snemma árás með því að nýta sér gögn sem koma frá öðrum forritum.

Snyk

Snyk er hægt að samþætta í GitHub, Jenkins, Circle CI, Tarvis, Code Ship, Bambus til að finna og laga þekktar varnarleysi.

Þú getur fengið sýnileika umsóknarfíknar þínar og fylgst með rauntímaviðvörunum þegar áhætta er að finna í kóðanum þínum.

Á háu stigi veitir Snyk fullkomna öryggisvernd, þar á meðal eftirfarandi.

  • Finndu varnarleysi í kóðanum
  • Fylgjast með kóða í rauntíma
  • Lagaðu viðkvæmar ósjálfstæði
  • Fáðu tilkynningu þegar ný veikleiki hefur áhrif á umsókn þína
  • Samvinna við liðsmenn þína

Snyk heldur sínu fram varnarleysi gagnagrunnur, og eins og er styður það Node.js, Ruby, Scala og Python.

Templarbit

Templarbit styðja samþættingu við Node.js, Django, Ruby on Rails, Nginx til að verja gegn árásum á forrit.

Það leggur áherslu á að vernda frá eftirfarandi.

  • Clickjacking árásir
  • Sprautuárásir
  • Handritsárásir á milli staða
  • Viðkvæm gögn
  • Yfirtaka reikninga
  • Lag 7 DDoS

Þú getur búið til sérsniðnar reglur með snjöllum aðgerðum til að framkvæma til að fá háþróaða vernd. Þetta gæti verið eins og þegar tíð innskráningarbilun er greind, þá lokaðu IP og sendu tölvupóst.

Cloudflare WAF

Cloudflare WAF (Web Application Firewall) verja vefforritin þín gegn skýinu (netbrún). Þú þarft ekki að setja neitt í hnútforritið þitt.

Það eru þrjár tegundir af WAF reglum þú færð.

  • OWASP – til að vernda forrit gegn OWASP topp 10 varnarleysi
  • Sérsniðnar reglur – þú getur skilgreint regluna
  • Cloudflare-tilboð – Reglur skilgreindar af Cloudflare byggðar á forriti.

Með því að nota Cloudflare bætirðu ekki öryggi við vefinn þinn heldur nýtur þú einnig þeirra hratt CDN fyrir betri afhendingu efnis.

Cloudflare WAF er fáanlegt í Pro áætluninni, sem kostar $ 20 á mánuði.

Annar öryggisveitandi sem byggir ský kostur væri SUCURI, heildaröryggislausn til að vernda gegn DDoS, malware, þekktum varnarleysi osfrv.

Jscrambler

Jscrambler tekur an áhugaverð, einstök nálgun að veita kóða & Heiðarleiki vefsíðu á viðskiptavininum.

Jscrambler gerir vefforritið þitt sjálfsvörn að berjast við svik, forðast breytingu á kóða í aðdraganda, gagnaleka og vernda gegn mannorðstapi og viðskiptum.

Annar spennandi eiginleiki er rökfræði forrita og gögnum er umbreytt á þann hátt að það er erfitt að skilja og leyna á viðskiptavininum. Þetta gerir það erfitt að giska á reiknirit, tækni sem notuð er í forritinu.

Sumir af Jscrambler lögun fela í sér eftirfarandi.

  • Rauntíma uppgötvun, tilkynning & vernd
  • Vörn gegn inndælingu kóða, DOM-átt, mann-í-vafri, vélmenni, núll daga árás
  • Persónuskilríki, kreditkort, forvarnir gegn einkatapi
  • Forvarnir gegn innspýtingu gegn skaðsemi

Svo farðu á undan og reyndu að búa til þitt Skotheld JavaScript-umsókn.

Lusca

Lusca er öryggiseining fyrir tjá til að veita OWASP bestu starfshætti öruggan haus.

Annar valkostur væri Hjálmur að útfæra haus eins og CSP, HPKP, HSTS, NoSniff, XSS, DNS Prefetch osfrv..

Verðmörkun sveigjanleg

Notaðu þetta pínulítill pakki til að takmarka gengi og kveikja á aðgerð á viðburðinum. Þetta mun vera vel til verndar gegn DDoS og sprengjuárásum.

Sum notkunartilfella væri eins og hér að neðan.

  • Verndun inngangspunktar
  • Takmarkanir á skrið / láni
  • Stefna í reitnum í minni
  • Dynamísk blokk byggð á aðgerðum notanda
  • Takmörkun með IP
  • Lokaðu fyrir of margar innskráningartilraunir

Veltirðu fyrir þér hvort þetta muni hægja á forritinu?

Nei, þú tekur ekki einu sinni eftir því. Það er hratt, að meðaltali beiðni bætir við 0,7ms í klasaumhverfinu.

N | fast

N | fast er vettvangur til að keyra Node.js forrit sem er gagnrýninn á verkefni.

Það fékk innbyggða skönnun á varnarleysi í rauntíma og sérsniðnar öryggisstefnur til að auka öryggi forrita. Þú getur stillt til að láta vita þegar nýtt öryggisleysi er greint í Nodejs forritunum þínum.

CSURF

Bættu við CSRF vernd með því að útfæra csurf. Það þarf fyrst að frumstilla milliverð lotu eða kexþátt.

Innri

Verndaðu gegn skaðlegum kóða og árásum á núll dögum.

Innri vinnur að minnsta kosti forréttindaheimspeki, sem er skynsamlegt. Til að koma því í gang þarftu bara að hafa bókasöfnin þeirra inn og skrifa reglur fyrir öryggi umsóknar þinnar. Þú getur skrifað stefnu í JavaScript DSL.

Góðar fréttir ef þú ert að nota netlausar aðgerðir, það styður AWS Lambda, Azure Functions og Google Cloud Aðgerðir.

Niðurstaða

Ég vona að ofangreindur listi yfir öryggisvernd hjálpi þér til tryggðu NodeJS forritið þitt. Það er ekki sérstaklega við Nodejs, en þú gætir líka viljað prófa það StackPath WAF til að verja allt forritið þitt gegn ógnum á netinu og DDoS árásum.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map