Downloaded 11 times
Uploaded byOntico
Безопасность Node.js / Илья Вербицкий (Независимый консультант)
Документ обсуждает безопасность разработки на Node.js, включая распространенные уязвимости и способы их предотвращения. Рассматриваются методы проверки и выбора npm-пакетов, использование различных инструментов для автоматизации безопасности и рекомендации по защите приложений от атак. Упоминаются главные проблемы безопасности, такие как внедрение кода, отсутствие контроля доступа и утечка данных.
More Related Content
Similar to Безопасность Node.js / Илья Вербицкий (Независимый консультант)
Безопасность Node.js / Илья Вербицкий (Независимый консультант)
- 1.
- 2. Вместо предисловия • Ктоукрал мою кредитную карту? • Безопасен ли мой блог? • Кто «сломал» Интернет?
- 3. Основные проблемы безопасности •Пользователи • Разработчики
- 4. Сколько стоит «баг»? Сбор требований ДизайнРазработка Тестирование Релиз Нас взломали!!!
- 5. OWASP Top 10 •Текущая версия - 2013 • NSA, CERT, PCI Council, SEI, SANS, NIST, EU Regulations • 2003, 2004, 2007, 2010 • Следующая версия - 2016
- 6.
- 7. Непроверенные перенаправления app.get("/login", function(req, res, next) { return res.redirect(req.query.url); }); http://site.com/login?url=/admin http://site.com/login?url=http://google.com
- 8. Что делать? • Неиспользуйте перенаправления и переходы • Переходы не зависят от входных параметров • Проверяйте входные параметры • valid-url
- 9.
- 10. Известные уязвимости вкомпонентах • https://nodesecurity.io/ • https://snyk.io/ • http://cve.mitre.org/ • https://nvd.nist.gov/ • https://www.exploit-db.com/ • https://www.cvedetails.com/
- 11. Как выбирать npm-пакеты? •Популярность • Автор • Активность на GitHub • Статические анализаторы? Юнит-тесты? • Базы данных уязвимостей • Списки рассылки, Slack
- 12. Как это автоматизировать? •nsp • snyk • Retire.js • JSPrime • ESLint with ScanJS rules • rokki • Veracode
- 13. Web Application Firewall •ModSecurity • IronBee • NAXSI • Shadow Daemon • Cloudflare WAF • AWS WAF
- 14.
- 15. Подделка межсайтовых запросов(CSRF) GoodSite.com Attacker.com
- 16. Что делать? • csurf varcsrf = require('csurf'); app.use(csrf({ cookie: true })); app.get('/form', function(req, res) { res.render('send', { csrfToken: req.csrfToken() }) })
- 17.
- 18. Отсутствие контроля правдоступа • Security through obscurity • Проверка прав доступа в UI • Нет проверки прав во вспомогательных служебных запросах
- 19. Что делать? • Битьпо рукам • Контроль доступа на всех уровнях приложения • Authorization middleware • Тестирование и сode review
- 20.
- 21. Утечка уязвимых данных •Перехват трафика • Проблемы с шифрованием данных
- 22. Что делать cперехватом трафика? • Всегда используйте TLS • HTTP/2 и TLS 1.2 • Используйте TLS 1.1 и TLS 1.2 • Защищенный контент доступен только через TLS-соединения • HTTP-контент на TLS-страницах • Атрибут Secure у cookie
- 23. Криптография в Node.jsи браузерах • crypto • sjcl (Stanford) • crypto-js • node-forge • Web Cryptography API • PolyCrypt
- 24.
- 25. Небезопасная конфигурация • Настройки/паролипо умолчанию • Слишком много прав • Утечка информации о настройках сервера • DoS • Clickjacking • JSON Hijacking
- 26. Что делать? • Ansible,Chef, Puppet • helmet • hpp • cors • node-ipgeoblock • express-limiter • safe-regex
- 27.
- 28. Прямые ссылки наобъекты var messageId = req.params.messageId; messagesDAO.getById(userId, function(error, message) { return res.render(“message", message); }); http://site.com/view-message?messageId=1
- 29. Что делать? • Битьпо рукам • Использовать сессии • Контроль доступа на всех уровнях приложения • Тестирование и code review
- 30.
- 31. XSS • Непостоянные • Постоянные •XSS в DOM-модели
- 32. Что делать? • Валидация •xss-filters • secure-filters • xss • validator-js • HTTP-куки • helmet-csp (Content Security Policy)
- 33.
- 34. Аутентификация и управлениесеансами • Анализ сообщений об ошибках аутентификации • Подбор паролей • Проблемы с сессиями пользователей
- 35. Аутентификация • Не изобретайтевелосипед • Аутентификация только через TLS • Политика паролей • «Безопасные» сообщения об ошибках • Двухфакторная аутентификация • CAPTCHA • Блокировка аккаунтов • Восстановление паролей
- 36. Готовые решения • passport •passport-2fa-totp • notp • basic-auth • recaptcha2
- 37. Сессии пользователей • Идентификаторсессии в URL • HTTP-куки • Только TLS • Таймаут • Выход из системы • Закрытие браузера
- 38. Безопасное хранение паролей •Не забудьте про salt • SHA-256, SHA-512 • PBKDF2, bcrypt, scrypt • HMAC
- 39.
- 40. Внедрение кода • SQL-инъекции •NoSQL-инъекции • Выполнение произвольного кода • Выполнение произвольных команд • Чтение/запись произвольных файлов • ORM-инъекции • XML-инъекции • XPath-инъекции
- 41. JavaScript-инъекции var preTax =eval(req.query.preTax); http://site.com/calculate?preTax=process.exit(1)
- 42. Что делать? • Валидация •Параметризированные запросы • eval(), setTimeout(), setInterval(), Function() • Регулярные выражения • Тестирование и code review
- 43. JavaScript шагает попланете • Front-end: Angular, React, ваш любимый фреймворк • Back-end: Node.js • Desktop: Electron, NW.js • Mobile: PhoneGap, React Native • IoT, Robotics: Cylon.js, Johnny-Five, Tessel 2
- 44.
Editor's Notes
- #3 https://www.riskiq.com/blog/labs/magecart-keylogger-injection/ (Magento, OpenCart и Powerfront) https://www.pluginvulnerabilities.com/blog/ + https://www.pluginvulnerabilities.com/2016/10/14/arbitrary-file-upload-vulnerability-in-wp-marketplace/ http://dyn.com/blog/dyn-statement-on-10212016-ddos-attack/
- #23 Weaknesses have been identified with earlier SSL protocols, including SSLv2 and SSLv3, hence SSL versions 1, 2, and 3 should not longer be used. As of February 2014, contemporary browsers (Chrome v20+, Firefox v27+, IE v8+, Opera v10+, and Safari v5+)support TLS 1.1 and TLS 1.2 TLS 1.0 is still widely used as the 'best' protocol by a lot of browsers that are not patched to the very latest version. It suffers from CBC Chaining attacks and Padding Oracle attacks. TLSv1.0 should only be used after risk analysis and acceptance. PCI DSS 3.1 prohibits use of TLS 1.0 after June 30, 2016. Although the standard itself does not require usage of encryption,[24] most client implementations (Firefox,[25] Chrome, Safari, Opera, IE, Edge) have stated that they will only support HTTP/2 over TLS, which makes encryption de facto mandatory. Rule - Do Not Provide Non-TLS Pages for Secure Content Rule - Do Not Mix TLS and Non-TLS Content Rule - Use "Secure" Cookie Flag
- #26 June 2016. Hackers Leak 36 million+ MongoDB Accounts - https://www.hackread.com/hacker-leaks-36-million-mongodb-accounts/ July 2015. 600TB MongoDB Database 'accidentally' exposed on the Internet - http://thehackernews.com/2015/07/MongoDB-Database-hacking-tool.html
- #27 Управление конфигурациями, аудит Clickjacking, JSON hijacking, x-powered-by, X-XSS-Protection, etc. HTTP parameter pollution attack Cross Origin Resource Sharing
- #33 Content Security Policy (CSP) - Content-Security-Policy: default-src 'self' *.mydomain.com
- #36 Do not send passwords to users. Use temporary links to reset passwords.
- #39 OpenSSL/Node.js crypto package ALWAYS hash on the server Use secure hash functions, e.g. SHA256 Use long salt generated by Cryptographically Secure Pseudo-Random Number Generator (CSPRNG) Slow hash functions (PBKDF2, scrypt, bcrypt). Bcrypt is the best. Use keyed hashes (HMAC)