NodJSアプリケーションをオンラインの脅威から保護する10のツール

主要なJavaScriptランタイムの1つであるNode.jsが市場シェアを徐々に獲得しています.


テクノロジーで人気が出ると、セキュリティの専門家、攻撃者、ハッカーなど、何百万人もの専門家にさらされます.

node.jsコアは安全ですが、サードパーティのパッケージをインストールする場合、構成、インストール、デプロイの方法で、ハッカーからWebアプリケーションを保護するために追加のセキュリティが必要になる場合があります。アイデアを得るために, 83% Snykユーザーの1人が、アプリケーションに1つ以上の脆弱性を発見しました。 Snykは人気のあるnode.jsセキュリティスキャンプラットフォームの1つです.

そしてもう一つ 最新の研究 ショー npmエコシステム全体の約14%が影響を受けました.

前回の記事では、Node.jsアプリケーションのセキュリティの脆弱性を見つける方法について述べましたが、それらの多くは、修正/保護について質問しました.

さあ、どうぞ…

スクエアン

5分未満で始めましょう, スクエアン 侵入、攻撃者からアプリケーションとユーザーを保護するためにコード内にデプロイされます.

Sqreenは軽量エージェントです パフォーマンスのために構築 以下を含む完全なセキュリティを提供する.

  • SQL / No-SQL /コード/コマンドインジェクション
  • Owaspトップ10
  • クロスサイトスクリプティング攻撃
  • ゼロデイ攻撃

Node.jsだけでなく、Python、Ruby、PHPもサポートします.

Sqreenの使用 集団知能 他のアプリケーションからのデータを利用して早期の攻撃を検出する.

スニク

スニク GitHub、Jenkins、Circle CI、Tarvis、Code Ship、Bambooに統合して、既知の脆弱性を見つけて修正できます.

アプリケーションの依存関係を可視化し、コードにリスクが見つかったときにリアルタイムのアラートを監視できます.

高レベルでは、Snykは以下を含む完全なセキュリティ保護を提供します.

  • コードの脆弱性を見つける
  • リアルタイムでコードを監視する
  • 脆弱な依存関係を修正する
  • 新しい弱点がアプリケーションに影響を与えるときに通知を受ける
  • チームメンバーとコラボレーションする

Snykは独自の 脆弱性データベース, 現在、Node.js、Ruby、Scala、Pythonをサポートしています.

テンプラビット

テンプラビット Node.js、Django、Ruby on Rails、Nginxとの統合をサポートし、アプリケーション攻撃から保護します.

以下からの保護に焦点を当てています.

  • クリックジャッキング攻撃
  • インジェクション攻撃
  • クロスサイトスクリプティング攻撃
  • 機密データの漏洩
  • アカウント乗っ取り
  • レイヤー7 DDoS

高度な保護のために実行するスマートアクションを含むカスタムルールを作成できます。これは、頻繁なログイン失敗が検出された場合に、IPをブロックしてメールを送信するようなものです。.

Cloudflare WAF

Cloudflare WAF (ウェブアプリケーションファイアウォール)クラウド(ネットワークエッジ)からウェブアプリケーションを保護します。ノードアプリケーションに何もインストールする必要はありません.

がある 3種類のWAFルール あなたは得る.

  • OWASP – OWASPのトップ10の脆弱性からアプリケーションを保護する
  • カスタムルール–ルールを定義できます
  • Cloudflareスペシャル–アプリケーションに基づいてCloudflareによって定義されたルール.

Cloudflareを利用することで、サイトにセキュリティを追加するだけでなく、それらを利用することもできます 高速CDN より良いコンテンツ配信のために.

Cloudflare WAFはProプランで利用可能で、月額$ 20です.

別の クラウドベースのセキュリティプロバイダー オプションは すくり, DDoS、マルウェア、既知の脆弱性などから保護するための完全なサイトセキュリティソリューション.

Jscrambler

Jscrambler 取る 興味深い、ユニークなアプローチ コードを提供する & クライアント側のWebページの整合性.

JscramblerはWebアプリケーションを作成します 自己防衛 詐欺との戦い、実行時のコード変更、データ漏洩を回避し、評判の低下やビジネスから保護する.

もう1つのエキサイティングな機能はアプリケーションロジックであり、データはクライアント側で理解しにくく、隠されるような方法で変換されます。これは、アルゴリズム、アプリケーションで使用されるテクノロジーを推測することを困難にします.

注目のJscramblerの一部には以下が含まれます.

  • リアルタイムの検出、通知 & 保護
  • コードインジェクション、DOM改ざん、マンインザブラウザ、ボット、ゼロデイ攻撃からの保護
  • 資格情報、クレジットカード、個人データの損失防止
  • マルウェア注入防止

だから先に行き、あなたを作ってみてください JavaScriptアプリケーションの防弾.

ルスカ

ルスカ のセキュリティモジュールです 表現する OWASPベストプラクティスセキュアヘッダーを提供する.

別のオプションは ヘルメット CSP、HPKP、HSTS、NoSniff、XSS、DNS Prefetchなどのヘッダーを実装する.

レート制限フレキシブル

これを使って 小さなパッケージ レートを制限し、イベントで機能をトリガーします。これは、DDoSおよびブルートフォース攻撃から保護するのに便利です。.

ユースケースのいくつかは以下のようになります.

  • ログインエンドポイント保護
  • クローラー/ボットのレート制限
  • インメモリブロック戦略
  • ユーザーのアクションに基づく動的ブロック
  • IPによるレート制限
  • あまりにも多くのログイン試行をブロックする

これがアプリケーションを遅くするかどうか疑問に思う?

いいえ、それに気づくこともありません。その速い、平均的な要求は追加します 0.7ms クラスター環境.

N |固体

N |固体 ミッションクリティカルなNode.jsアプリケーションを実行するためのプラットフォームです.

アプリケーションのセキュリティを強化するために、リアルタイムの脆弱性スキャンとカスタムセキュリティポリシーが組み込まれています。 Nodejsアプリケーションで新しいセキュリティの脆弱性が検出されたときにアラートを受け取るように構成できます.

CSURF

実装してCSRF保護を追加する csurf. セッションミドルウェアまたはcookie-parserを最初に初期化する必要があります.

本質的

悪意のあるコードとゼロデイ攻撃から保護する.

本質的 最小限の特権哲学に基づいて機能します。それを始めるために、あなたはそれらのライブラリを含めて、あなたのアプリケーションセキュリティのためのポリシーを書く必要があるだけです。 JavaScript DSLでポリシーを記述できます.

サーバーレス関数を使用している場合、朗報です。AWSLambda、Azure関数、Google Cloud関数をサポートします.

結論

上記のセキュリティ保護のリストが役立つことを願っています NodeJSアプリケーションを保護する. Nodejsに固有のものではありませんが、試してみることもできます StackPath WAF オンラインの脅威とDDoS攻撃からアプリケーション全体を保護する.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map