Como Fazer Apps Node.Js Seguras

Transcript

1. Como Fazer Apps Node.Js SEGURAS

2. @paulo_hp

3. None

4. Eu não sou um especialista em segurança web!

5. Como você inicia uma aplicação?

6. Muita Coisa Pra Pensar

7. Regras de Negócio Modelagem Frameworks? Node.JS?

8. Você trabalha igual louco e coloca o app em produção

9. + usuários + visibilidade + exposição

10. Você fica vulnerável

11. SE GU RAN ÇA?

12. Segurança quase nunca entra em pauta!

13. Maioria dos ataques acontecem na camada de aplicação

14. Como prevenir esses ataques em nossos apps Node.JS?

15. Defesa

16. XSS

17. localhost:8000/?name=<script>alert(1)</script>

18. Encode Untrusted Data

19. SSJSi

20. eval() is evil

21. {"symbol" : "ASDF"} A chamada para eval avalia assim a

    string: ({"symbol" : "ASDF"})

22. Mas se ao invés de um simples JSON, o atacante

    enviar um código JS malicioso?

23. res.end('success')

24. O servidor executa esse comando, retornando o texto "success" como

    resposta HTTP.

25. Com essa resposta, o atacante sabe que seu server é

    vulnerável.

26. E assim ele pode enviar códigos que realmente causam estragos.

27. DoS *deprecated

28. Um ataque efetivo DoS pode ser executado simplesmente enviando um

    comando

29. while(1)

30. Um descuido como esse pode dar acesso aos arquivos, processos

    e até ao seu banco NoSQL

31. Algumas pequenas coisas podem ser feitas para evitar, como validar

    inputs com RegEx e evitando o uso de eval()

32. e se você usa versão antiga, ATUALIZE!

33. CSRF

34. Ativando o uso de CSRF no Express.JS

35. app.js form.html

36. Garanta o uso correto dos metodos HTTP

37. Nomes de Cookies Genéricos

38. None

39. X-Powerd-By

40. Esse valor não interessa muito pra nós, e pode ser

    removido facilmente
41. None

42. Avalie os módulos externos do NPM

43. nodesecurity.io

44. Eduque os desenvolvedores com OWASP Top 10 owasp.org

45. Inclua testes de segurança no ciclo de desenvolvimento

46. vlw :D