10 mjete për të siguruar aplikimin e NodJS nga kërcënimet në internet

Node.js, një nga drejtimet kryesore të JavaScript, po kap pjesën e tregut gradualisht.


Kur çdo gjë bëhet e njohur në teknologji, ata i ekspozohen miliona profesionistëve, përfshirë ekspertë të sigurisë, sulmuesve, hakerave, etj.

Një thelb e nyjës.js është e sigurt, por kur instaloni paketat e palëve të treta, mënyra sesi konfiguroni, instaloni dhe vendosni mund të kërkojë siguri shtesë për të mbrojtur aplikacionet në internet nga hakerët. Për të marrë një ide, 83% e përdoruesve të Snyk gjetën një ose më shumë dobësi në aplikimin e tyre. Snyk është një nga platformat e njohura të sigurisë së nyjes.js.

Dhe nje tjeter hulumtimi i fundit tregon ~ 14% e tërë ekosistemit npm u prek.

Në artikullin tim të mëparshëm, unë përmenda se si të gjejnë dobësitë e sigurisë në një aplikacion Node.js, dhe shumë prej jush pyetën për rregullimin / sigurimin e tyre.

Kështu që këtu ju shkoni…

Sqreen

Fillojeni në më pak se 5 minuta, Sqreen është vendosur brenda kodit tuaj për të mbrojtur aplikacionin tuaj dhe përdoruesit nga ndërhyrjet, sulmuesi.

Sqreen është një agjent i lehtë ndërtuar për performancën për të siguruar siguri të plotë, përfshirë këtu.

  • Injeksione SQL / No-SQL / Code / Command
  • Owasp Top 10
  • Sulme skriptimi ndër-site
  • Sulme zero ditore

Jo vetëm Node.js, por gjithashtu mbështet Python, Ruby, PHP gjithashtu.

Përdor ekranet inteligjencën kolektive për të zbuluar një sulm të hershëm duke përfituar nga të dhënat që vijnë nga aplikacionet e tjera.

Snyk

Snyk mund të integrohet në GitHub, Jenkins, Circle CI, Tarvis, Code Ship, Bamboo për të gjetur dhe rregulluar dobësitë e njohura.

Ju mund të fitoni shikueshmërinë e varësive të aplikacionit tuaj dhe të monitoroni alarmet në kohë reale kur rreziku gjendet në kodin tuaj.

Në një nivel të lartë, Snyk siguron mbrojtje të plotë të sigurisë, duke përfshirë sa vijon.

  • Gjetja e dobësive në kod
  • Monitoroni kodin në kohë reale
  • Fiksoni varësitë e ndjeshme
  • Njoftohuni kur dobësia e re ndikon në aplikimin tuaj
  • Bashkëpunoni me anëtarët e ekipit tuaj

Snyk mban të tijën bazën e të dhënave të dobësive, dhe aktualisht, ai mbështet Node.js, Ruby, Scala dhe Python.

Templarbit

Templarbit mbështesin integrimin me Node.js, Django, Ruby on Rails, Nginx për të mbrojtur nga sulmet e aplikacionit.

Ai përqendrohet në mbrojtjen nga sa vijon.

  • Sulmet me klikim
  • Sulmet e injektimit
  • Sulme skriptimi ndër-site
  • Ekspozimi i ndjeshëm i të dhënave
  • Marrja e llogarisë
  • Shtresa 7 DDoS

Ju mund të krijoni rregulla me porosi me veprimin e zgjuar për të ekzekutuar për mbrojtje të përparuar. Kjo mund të jetë si nëse zbulohet dështim i shpeshtë i hyrjes, atëherë bllokoni IP dhe dërgoni një email.

Cloudflare WAF

Cloudflare WAF (Web Application Firewall) mbrojnë aplikacionet tuaja të internetit nga cloud (skaji i rrjetit). Ju nuk duhet të instaloni asgjë në aplikacionin tuaj të nyjës.

Atje jane tre lloje të rregullave të WAF ju merrni.

  • OWASP – për të mbrojtur një aplikim nga 10 dobësitë kryesore të OWASP
  • Rregullat e personalizuara – mund të përcaktoni rregullin
  • Speciale të Cloudflare – Rregulla të përcaktuara nga Cloudflare bazuar në aplikim.

Duke përdorur Cloudflare, ju nuk shtoni siguri në faqen tuaj, por gjithashtu përfitoni nga ato CDN e shpejtë për shpërndarje më të mirë të përmbajtjes.

Cloudflare WAF është në dispozicion në planin Pro, i cili kushton 20 dollarë në muaj.

Një tjetër ofruesi i sigurisë me bazë cloud opsioni do të ishte SUCURI, një zgjidhje e plotë e sigurisë në sit për të mbrojtur nga DDoS, malware, dobësitë e njohura, etj.

Jscrambler

Jscrambler merr një qasje interesante, unike për të siguruar kodin & Integriteti i faqes në internet në anën e klientit.

Jscrambler bën aplikacionin tuaj në internet vetë-mbrojtëse për të luftuar me mashtrim, për të shmangur modifikimin e kodit në kohën e duhur, rrjedhjen e të dhënave dhe mbrojtjen nga humbja e reputacionit dhe biznesi.

Një veçori tjetër tërheqëse është logjika e aplikacionit, dhe të dhënat shndërrohen në atë mënyrë që është e vështirë të kuptohen dhe fshihen në anën e klientit. Kjo e bën të vështirë të hamendësoni algoritmin, teknologjitë e përdorura në aplikim.

Disa nga shfaqjet e Jscrambler përfshijnë si më poshtë.

  • Zbulimi, njoftimi në kohë reale & mbrojtje
  • Mbrojtje nga injeksioni i kodit, ngatërruesit DOM, shfletuesi njeri-në-shfletues, bots, sulmet zero-ditore
  • Kredenciali, karta krediti, parandalimi i humbjes së të dhënave private
  • Parandalimi i injektimit të malware

Prandaj shkoni përpara dhe provoni të bëni tuajin Prova e plumbave të aplikacionit JavaScript.

Lusca

Lusca është një modul sigurie për Express të sigurojë header të sigurt praktikat më të mira të OWASP.

Një tjetër mundësi do të ishte përkrenare për të zbatuar tituj si CSP, HPKP, HSTS, NoSniff, XSS, DNS prefetch, etj.

Vlerësoni kufirin fleksibël

Përdor këtë paketë e vogël për të kufizuar normën dhe të nxisë një funksion në ngjarje. Kjo do të jetë e dobishme për të mbrojtur nga DDoS dhe sulmet brutale të forcës.

Disa nga rastet e përdorimit do të jenë si më poshtë.

  • Mbrojtja e pikës fundore
  • Kufijtë / kufizimi i normës bot
  • Strategjia e bllokimit të memorjes
  • Blloku dinamik bazuar në veprimin e përdoruesit
  • Vlerësoni kufizimin me IP
  • Blloko shumë përpjekje për hyrje

Pyesin nëse kjo do të ngadalësojë aplikacionin?

Jo, nuk do ta vini re as atë. Itsshtë e shpejtë, shton kërkesa mesatare 0.7ms në mjedisin e kllasterit.

N | ngurta

N | ngurta është një platformë për të ekzekutuar një aplikacion kritik Node.js të misionit.

Ai mori skanimin e cenueshmërisë në kohë reale dhe politikat e sigurisë me porosi për sigurinë e përmirësuar të aplikacionit. Ju mund të konfiguroni që të alarmoheni kur një dëmtueshmëri e re e sigurisë zbulohet në aplikacionet tuaja Nodejs.

CSURF

Shtoni mbrojtjen e CSRF duke zbatuar csurf. Së pari kërkohet një program ndërmjetësues ose cookie-parser.

i brendshëm

Mbroni nga kodi me qëllim të keq dhe sulmet e ditës zero.

i brendshëm funksionon në filozofinë më pak të privilegjeve, që ka kuptim. Për ta filluar, thjesht duhet të përfshini bibliotekat e tyre dhe të shkruani politikat për sigurinë e aplikacionit tuaj. Ju mund të shkruani një politikë në JavaScript DSL.

Lajm i mirë nëse përdorni funksione pa server, ai mbështet AWS Lambda, Funksionet Azure dhe Funksionet e Google Cloud.

përfundim

Shpresoj se lista e mësipërme e mbrojtjes së sigurisë ju ndihmon siguroni aplikacionin tuaj NodeJS. Nuk është specifike për Nodejs, por ju gjithashtu mund të dëshironi të provoni StackPath WAF për të mbrojtur të gjithë aplikacionin tuaj nga kërcënimet në internet dhe sulmet DDoS.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map