Node.js: руководство по безопасности | OTUS

Курсы

Программирование
iOS Developer. Basic
-23%
Python Developer. Professional
-13%
Разработчик на Spring Framework
-23%
Golang Developer. Professional
-17%
Python Developer. Basic
-16%
iOS Developer. Professional
-13%
Node.js Developer
-15%
Unity Game Developer. Professional
-11%
React.js Developer
-12%
Android Developer. Professional
-7%
Software Architect
-12%
C++ Developer. Professional
-8%
Разработчик C#
-8%
Backend-разработчик на PHP Архитектура и шаблоны проектирования
-12%
Программист С Базы данных Framework Laravel PostgreSQL Reverse-Engineering. Professional CI/CD Agile Project Manager Нереляционные базы данных Супер - интенсив по паттернам проектирования Супер-практикум по использованию и настройке GIT IoT-разработчик Advanced Fullstack JavaScript developer Супер-интенсив "Azure для разработчиков"
Инфраструктура
Мониторинг и логирование: Zabbix, Prometheus, ELK
-17%
DevOps практики и инструменты
-18%
Архитектор сетей
-21%
Инфраструктурная платформа на основе Kubernetes
-22%
Супер-интенсив «IaC Ansible»
-16%
Супер-интенсив по управлению миграциями (DBVC)
-16%
Administrator Linux.Basic
-10%
Супер-интенсив «ELK»
-10%
Administrator Linux. Professional MS SQL Server Developer Безопасность Linux PostgreSQL Reverse-Engineering. Professional CI/CD VOIP инженер Супер-практикум по работе с протоколом BGP Супер - интенсив по паттернам проектирования Супер - интенсив по Kubernetes Супер-интенсив «СУБД в высоконагруженных системах»
Специализации Курсы в разработке Подготовительные курсы
+7 499 938-92-02

Node.js: руководство по безопасности

При наличии проблем с безопасностью может произойти утечка пользовательских данных, что приведёт к соответствующим репутационным и финансовым потерям. В этой статье мы поговорим о правилах безопасного кода в контексте Node.js-разработки.

Правило № 1: не используйте eval

Известная функция eval() может сделать приложение уязвимым для инъекций произвольного кода. Именно поэтому рекомендуется её не использовать. Если же без этого не обойтись, никогда не стоит передавать чистый пользовательский ввод в eval().

Правило № 2: пользуйтесь режимом «use strict»

С режимом use strict вы можете использовать строгий «вариант» JS, что позволяет находить ряд скрытых ошибок и отображать их.

'use strict'  
delete Object.prototype 
// ошибка ввода
var obj = {  
    a: 1, 
    a: 2 
} 
// ошибка синтаксиса

Правило № 3: обрабатывать ошибки надо аккуратно

При обработке исключений возможны утечки важной информации из вашего приложения. Речь идёт, например, об информации о внутренней структуре, допустим, X-Powered-By:Express.

Да, сами по себе данные трассировки уязвимостью не являются, но часто они могут раскрывать другую информацию, которая интересует хакеров. Таким образом, предоставление отладочной информации в качестве результата, генерируемого в случае ошибки — плохая практика. Поэтому всегда записывайте информацию в логи и скрывайте от пользователя.

Правило № 4: не забывайте про статический анализ кода

Статический анализ кода приложения поможет вам обнаружить много ошибок. Используйте для этого ESLint совместно со Standard code style.

Правило № 5: не запускайте процессы с root-правами

Увы, но очень часто разработчики запускают приложения с рут-правами (например, когда хотят использовать порты 443 и 80). И это тоже плохая практика. Если возникнет ошибка, процесс может «положить» всю систему, ведь открыт доступ ко всем возможностям.

Чтобы так не делать, настройте для перенаправления запроса HTTP-сервер либо прокси. Пусть это будет nginx либо Apache. Дополнительная информация есть в этой статье.

Правило № 6: настраиваем обязательные HTTP-заголовки

Есть ряд HTTP-заголовков, которые относятся к безопасности. И их надо установить: • Strict-Transport-Security — делает обязательным безопасные соединения с сервером (HTTP через SSL/TLS); • X-Frame-Options — для защиты от кликджекинга; • X-XSS-Protection — содержит фильтр межсайтового скриптинга (XSS), который встроен в большинство веб-браузеров; • X-Content-Type-Options — для предотвращения MIME-сниффинга ответа без декларированного Content-Type; • Content-Security-Policy — для защиты от широкого спектра атак, в том числе XSS и прочих межсайтовых инъекций.

Сделать всё это в Node.js просто — достаточно задействовать модуль Helmet:

var express = require('express')
var helmet = require('helmet')

var app = express()

app.use(helmet())

Правило № 7: управляйте сессиями корректно

Флаги, приведённые ниже, следует установить для всех куки: • secure — браузер получает сообщение, что надо отправлять куки лишь в том случае, если запрос отправляется посредством HTTPS; • HttpOnly — помогает предотвращать атаки типа XSS за счё того, что не даёт доступ к куки через JS.

Правило № 8: настраиваем ограничения для куки

Если работаете с куки, используйте также и следующие флаги: • domain — для сравнения домена, который записан в куки, с домена в URL. Если домен совпадает либо это субдомен, проверяется атрибут path; • path — с помощью этого атрибута в дополнение к domain для куки можно задать URL. Если path и domain совпадают, куки можно считать валидными, поэтому они отправляются в запросе; • expires — чтобы установить срок действия куки.

Кстати, с помощью пакета cookies вы можете без проблем создавать куки в Node.js. Однако эта фича довольно низкоуровневая, поэтому можно просто воспользоваться оболочкой типа cookie-session.

var cookieSession = require('cookie-session')
var express = require('express')

var app = express()

app.use(cookieSession({
  name: 'session',
  keys: [
    process.env.COOKIE_KEY1,
    process.env.COOKIE_KEY2
  ]
}))

app.use(function (req, res, next) {
  var n = req.session.views || 0
  req.session.views = n++
  res.end(n + ' views')
})

app.listen(3000)

Правило № 9: ищем уязвимости с Retire.js

Существует инструмент Retire.js, основная цель которого — оказать помощь в обнаружении уязвимых версии модулей. Устанавливается он предельно просто:

npm install -g retire

Далее применение команды retire позволит вам обнаружить уязвимости в директории node_modules.

Правило № 10: аудит модулей с Node Security Platform CLI

Используя этот инструмент, вы получаете возможность выполнять аудит package.json либо npm-shrinkwrap.json, выполняя сравнение со списком уязвимых модулей NSP API.

npm install nsp --global
# Из директории вашего проекта
nsp check

Источник — «Node Hero - Node.js Security Tutorial».

Не пропустите новые полезные статьи!

Спасибо за подписку!

Мы отправили вам письмо для подтверждения вашего email.
С уважением, OTUS!

Автор
0 комментариев
Для комментирования необходимо авторизоваться