Безопасность Node.js / Илья Вербицкий (Независимый консультант)
Report
OnticoFollow
Nov. 14, 2016•0 likes•1,518 views
Безопасность Node.js / Илья Вербицкий (Независимый консультант)
Nov. 14, 2016•0 likes•1,518 views
Download to read offline
Report
Engineering
За последние годы мечты фантастов XX века стали реальностью: смартфоны, видеозвонки, виртуальная реальность и, наконец, Интернет вещей. К сожалению, у прогресса всегда есть темная сторона. Я думаю, ни для кого не секрет, что такие компании как Sony, Yahoo, Adobe, Target и многие другие столкнулись с проблемами безопасности в последние годы. Количество скомпрометированных систем растет день ото дня. Node.js - это одна из самых быстрорастущих экосистем разработки приложений на рынке, которая постепенно перестает быть инструментом для разработки стартапов и проникает в корпоративный сектор. Вы уверены, что ваше приложение, разработанное на базе MEAN-стека, безопасно? В своем докладе я хотел бы рассмотреть данный вопрос. Мы поговорим о криптографии, аутентификации, авторизации, уязвимостях web-приложений, построенных на базе Node.js. К концу доклада вы получите пошаговое руководство, как уменьшить вероятность взлома вашего проекта.
OnticoFollow
Recommended
Хайлоад и безопасность в мире DevOps: совместимы ли? / Юрий Колесов (security...Ontico
Архитектура поиска в Booking.com / Иван Круглов (Booking.com)Ontico
Как не положить тысячи серверов с помощью системы централизованного управлени...Ontico
Быстрый старт iOS приложения на примере iOS Почты Mail.Ru / Николай Морев (Ma...Ontico
Архитектура растущего проекта на примере ВКонтакте / Алексей Акулович (ВКонт...Ontico
Как SRE следит за стабильностью и скоростью HeadHunter / Антон Иванов (HeadHu...Ontico
More Related Content
What's hot
Веб-разработка без наркотиков с помощью PostgreSQL, Nginx и c2h5oh / Миша Кир...Ontico
Высокопроизводительная и отказоустойчивая архитектура фронтальных систем / Ма...Ontico
Zabbix в Badoo или о чем не пишут в мануале, Илья Аблеев (Badoo)Badoo Development
Переезжаем с Zabbix на Prometheus / Василий Озеров (fevlake)Ontico
Неочевидные детали при запуске HTTPS в OK.Ru / Андрей Домась (Одноклассники)Ontico
Алексей Фомкин, Практическое применение Web WorkersAleksey Fomkin
Viewers also liked
Разработка real-time приложений с RethinkDB / Илья Вербицкий (Независимый кон...Ontico
Vulnerability intelligence with vulners.com / Кирилл Ермаков, Игорь Булатенко...Ontico
Дизайн REST API для высокопроизводительных систем / Александр Лебедев (Новые ...Ontico
Превышаем скоростные лимиты с Angular 2 / Алексей Охрименко (IPONWEB)Ontico
Введение в архитектуры нейронных сетей / Григорий Сапунов (Intento)Ontico
Практическое применение WebWorkers / Алексей Фомкин (Data Monsters)Ontico
Similar to Безопасность Node.js / Илья Вербицкий (Независимый консультант)
Codeception Introductionautomated-testing.info
М. Боднарчук Современное функциональное тестирование с CodeceptionAlbina Tiupa
Михаил Боднарчук Современное функциональное тестирование с CodeceptionAlbina Tiupa
Codeception UATestingDaysdavertmik
Информационная безопасность и web-приложенияMaxim Krentovskiy
Node.js Меньше сложности, больше надежности Holy.js 2021Timur Shemsedinov
More from Ontico
One-cloud — система управления дата-центром в Одноклассниках / Олег Анастасье...Ontico
Масштабируя DNS / Артем Гавриченков (Qrator Labs)Ontico
Создание BigData-платформы для ФГУП Почта России / Андрей Бащенко (Luxoft)Ontico
Готовим тестовое окружение, или сколько тестовых инстансов вам нужно / Алекса...Ontico
Новые технологии репликации данных в PostgreSQL / Александр Алексеев (Postgre...Ontico
PostgreSQL Configuration for Humans / Alvaro Hernandez (OnGres)Ontico
Безопасность Node.js / Илья Вербицкий (Независимый консультант)
- 2. Вместо предисловия • Кто украл мою кредитную карту? • Безопасен ли мой блог? • Кто «сломал» Интернет?
- 3. Основные проблемы безопасности • Пользователи • Разработчики
- 4. Сколько стоит «баг»? Сбор требований Дизайн Разработка Тестирование Релиз Нас взломали!!!
- 5. OWASP Top 10 • Текущая версия - 2013 • NSA, CERT, PCI Council, SEI, SANS, NIST, EU Regulations • 2003, 2004, 2007, 2010 • Следующая версия - 2016
- 6. 10
- 7. Непроверенные перенаправления app.get("/login", function (req, res, next) { return res.redirect(req.query.url); }); http://site.com/login?url=/admin http://site.com/login?url=http://google.com
- 8. Что делать? • Не используйте перенаправления и переходы • Переходы не зависят от входных параметров • Проверяйте входные параметры • valid-url
- 9. 9
- 10. Известные уязвимости в компонентах • https://nodesecurity.io/ • https://snyk.io/ • http://cve.mitre.org/ • https://nvd.nist.gov/ • https://www.exploit-db.com/ • https://www.cvedetails.com/
- 11. Как выбирать npm-пакеты? • Популярность • Автор • Активность на GitHub • Статические анализаторы? Юнит-тесты? • Базы данных уязвимостей • Списки рассылки, Slack
- 12. Как это автоматизировать? • nsp • snyk • Retire.js • JSPrime • ESLint with ScanJS rules • rokki • Veracode
- 13. Web Application Firewall • ModSecurity • IronBee • NAXSI • Shadow Daemon • Cloudflare WAF • AWS WAF
- 14. 8
- 15. Подделка межсайтовых запросов (CSRF) GoodSite.com Attacker.com
- 16. Что делать? • csurf var csrf = require('csurf'); app.use(csrf({ cookie: true })); app.get('/form', function(req, res) { res.render('send', { csrfToken: req.csrfToken() }) })
- 17. 7
- 18. Отсутствие контроля прав доступа • Security through obscurity • Проверка прав доступа в UI • Нет проверки прав во вспомогательных служебных запросах
- 19. Что делать? • Бить по рукам • Контроль доступа на всех уровнях приложения • Authorization middleware • Тестирование и сode review
- 20. 6
- 21. Утечка уязвимых данных • Перехват трафика • Проблемы с шифрованием данных
- 22. Что делать c перехватом трафика? • Всегда используйте TLS • HTTP/2 и TLS 1.2 • Используйте TLS 1.1 и TLS 1.2 • Защищенный контент доступен только через TLS-соединения • HTTP-контент на TLS-страницах • Атрибут Secure у cookie
- 23. Криптография в Node.js и браузерах • crypto • sjcl (Stanford) • crypto-js • node-forge • Web Cryptography API • PolyCrypt
- 24. 5
- 25. Небезопасная конфигурация • Настройки/пароли по умолчанию • Слишком много прав • Утечка информации о настройках сервера • DoS • Clickjacking • JSON Hijacking
- 26. Что делать? • Ansible, Chef, Puppet • helmet • hpp • cors • node-ipgeoblock • express-limiter • safe-regex
- 27. 4
- 28. Прямые ссылки на объекты var messageId = req.params.messageId; messagesDAO.getById(userId, function(error, message) { return res.render(“message", message); }); http://site.com/view-message?messageId=1
- 29. Что делать? • Бить по рукам • Использовать сессии • Контроль доступа на всех уровнях приложения • Тестирование и code review
- 30. 3
- 31. XSS • Непостоянные • Постоянные • XSS в DOM-модели
- 32. Что делать? • Валидация • xss-filters • secure-filters • xss • validator-js • HTTP-куки • helmet-csp (Content Security Policy)
- 33. 2
- 34. Аутентификация и управление сеансами • Анализ сообщений об ошибках аутентификации • Подбор паролей • Проблемы с сессиями пользователей
- 35. Аутентификация • Не изобретайте велосипед • Аутентификация только через TLS • Политика паролей • «Безопасные» сообщения об ошибках • Двухфакторная аутентификация • CAPTCHA • Блокировка аккаунтов • Восстановление паролей
- 36. Готовые решения • passport • passport-2fa-totp • notp • basic-auth • recaptcha2
- 37. Сессии пользователей • Идентификатор сессии в URL • HTTP-куки • Только TLS • Таймаут • Выход из системы • Закрытие браузера
- 38. Безопасное хранение паролей • Не забудьте про salt • SHA-256, SHA-512 • PBKDF2, bcrypt, scrypt • HMAC
- 39. 1
- 40. Внедрение кода • SQL-инъекции • NoSQL-инъекции • Выполнение произвольного кода • Выполнение произвольных команд • Чтение/запись произвольных файлов • ORM-инъекции • XML-инъекции • XPath-инъекции
- 41. JavaScript-инъекции var preTax = eval(req.query.preTax); http://site.com/calculate?preTax=process.exit(1)
- 42. Что делать? • Валидация • Параметризированные запросы • eval(), setTimeout(), setInterval(), Function() • Регулярные выражения • Тестирование и code review
- 43. JavaScript шагает по планете • Front-end: Angular, React, ваш любимый фреймворк • Back-end: Node.js • Desktop: Electron, NW.js • Mobile: PhoneGap, React Native • IoT, Robotics: Cylon.js, Johnny-Five, Tessel 2
- 44. Вопросы?
Editor's Notes
- https://www.riskiq.com/blog/labs/magecart-keylogger-injection/ (Magento, OpenCart и Powerfront) https://www.pluginvulnerabilities.com/blog/ + https://www.pluginvulnerabilities.com/2016/10/14/arbitrary-file-upload-vulnerability-in-wp-marketplace/ http://dyn.com/blog/dyn-statement-on-10212016-ddos-attack/
- Weaknesses have been identified with earlier SSL protocols, including SSLv2 and SSLv3, hence SSL versions 1, 2, and 3 should not longer be used. As of February 2014, contemporary browsers (Chrome v20+, Firefox v27+, IE v8+, Opera v10+, and Safari v5+)support TLS 1.1 and TLS 1.2 TLS 1.0 is still widely used as the 'best' protocol by a lot of browsers that are not patched to the very latest version. It suffers from CBC Chaining attacks and Padding Oracle attacks. TLSv1.0 should only be used after risk analysis and acceptance. PCI DSS 3.1 prohibits use of TLS 1.0 after June 30, 2016. Although the standard itself does not require usage of encryption,[24] most client implementations (Firefox,[25] Chrome, Safari, Opera, IE, Edge) have stated that they will only support HTTP/2 over TLS, which makes encryption de facto mandatory. Rule - Do Not Provide Non-TLS Pages for Secure Content Rule - Do Not Mix TLS and Non-TLS Content Rule - Use "Secure" Cookie Flag
- June 2016. Hackers Leak 36 million+ MongoDB Accounts - https://www.hackread.com/hacker-leaks-36-million-mongodb-accounts/ July 2015. 600TB MongoDB Database 'accidentally' exposed on the Internet - http://thehackernews.com/2015/07/MongoDB-Database-hacking-tool.html
- Управление конфигурациями, аудит Clickjacking, JSON hijacking, x-powered-by, X-XSS-Protection, etc. HTTP parameter pollution attack Cross Origin Resource Sharing
- Content Security Policy (CSP) - Content-Security-Policy: default-src 'self' *.mydomain.com
- Do not send passwords to users. Use temporary links to reset passwords.
- OpenSSL/Node.js crypto package ALWAYS hash on the server Use secure hash functions, e.g. SHA256 Use long salt generated by Cryptographically Secure Pseudo-Random Number Generator (CSPRNG) Slow hash functions (PBKDF2, scrypt, bcrypt). Bcrypt is the best. Use keyed hashes (HMAC)