¡Aumenta la seguridad de tu aplicación Node.js! Profundice en las mejores prácticas, desde el uso de HTTPS, la validación de datos y el empleo de encabezados de seguridad hasta auditorías de dependencia periódicas.
En los últimos años, la popularidad de Node.js ha aumentado constantemente. Grandes empresas como Twitter, eBay, Netflix, Reddit y Paypal lo utilizan para potenciar sus servidores y manejar el tráfico creciente. Y las nuevas empresas tampoco se quedan atrás, ya que están adoptando este tiempo de ejecución de Javascript para crear sus sitios web y aprovechar sus ventajas.
#1: Proteger contra inyecciones de consultas con consultas parametrizadas
Las inyecciones SQL/NoSQL son uno de los ataques más comunes que puede sufrir un sitio web en la actualidad. Los actores maliciosos envían consultas como si fueran entradas del usuario y obligan al sistema a proporcionar información confidencial por error. Normalmente, esto es lo que sucede cuando utiliza cadenas JS o concatenaciones de cadenas para insertar valores en consultas.
Afortunadamente, puedes evitar esto utilizando una de las muchas bibliotecas de Node.js con funciones integradas contra estas inyecciones. Mongoose es uno de los mejores en esto, ya que brinda soporte para consultas parametrizadas indexadas. Al hacer esto, tratará todas las entradas como tales, evitando que cualquier información se confunda con una declaración SQL ejecutable.
#2 Presta atención a los encabezados HTTP
Seamos realistas: los encabezados HTTP pueden ser tanto beneficiosos como perjudiciales. Usar los incorrectos o incluso emplear los correctos en los lugares equivocados puede provocar secuencias de comandos entre sitios y clickjacking, entre otros ataques conocidos. ¿Qué puedes hacer? No puedes deshacerte de los encabezados HTTP, por lo que puedes hacer una de dos cosas: prestar atención a cada uno y evaluarlos manualmente, o protegerlos con Helmet.
Helmet es un módulo de nodo relativamente pequeño pero bastante potente que puede ayudarte a mejorar la seguridad de tu encabezado con solo instalarlo. Por supuesto, puede configurarlo fácilmente para mejorar sus funciones, pero en general, no necesita hacer mucho para obtener ayuda para agregar o eliminar encabezados.
#3 No ejecutes Node.js con un usuario root
Esto puede parecer algo bastante básico, pero te sorprendería saber cuántos desarrolladores no le prestan atención. Ejecutar código Node.js con acceso de root abre la puerta a que cualquier mal actor te ataque cuando no lo esperas. En realidad, usar un usuario root es más fácil para tareas específicas (como cambiar un directorio en el que el usuario no tiene permiso para escribir), pero deberías probar algunas soluciones para evitar que esto suceda.
Sí, entiendo si considera que esto es excesivo, pero vale la pena señalar que cada vez que ejecuta código con sudo, se expone a un ataque. Incluso cuando esto parezca el peor de los casos, asegúrese siempre de ejecutar el código con usuarios que no sean root.
#4 Ten cuidado con la evaluación
O no lo uses si es posible. Claro, eval puede hacer que su código sea más dinámico, pero también puede permitir a los atacantes insertar código malicioso que su aplicación terminará ejecutando. Debido a que eval ejecuta cualquier cadena como código, nunca se puede estar seguro de qué tipo de entrada manejará la declaración eval. Naturalmente, esto puede provocar todo tipo de problemas de seguridad, como ataques DoS.
Estos ataques están en el extremo de lo que se puede sufrir mediante una evaluación. Puedes usarlo y no tener ningún problema. Puedes usarlo de forma segura si eres lo suficientemente cuidadoso, pero ese es el problema: debes prestar atención a muchos detalles para evitar la amplia gama de problemas que pueden surgir.
#5: Utilice 2FA para detener ataques automatizados
Un sistema de autenticación roto es una de las mayores vulnerabilidades que puede tener. Si implementa políticas de administración de sesiones y contraseñas débiles en sus aplicaciones, se expone a atacantes que roban credenciales e implementan código malicioso en sus sitios. Es por eso que debes considerar los diversos aspectos que vienen con la autenticación: creación y recuperación de contraseñas, administración de ID, etc.
Siempre puedes usar soluciones existentes como OAuth para manejar todo esto, pero hay algo más que debes usar: la autenticación de dos factores (2FA). Puede integrarlo con su aplicación o sitio web a través de paquetes npm o Yarn y generar tokens únicos para todos los usuarios.
#6 Acepte solo cargas pequeñas
Cualquier aplicación Node.js puede recibir grandes solicitudes que pueden poner en peligro su rendimiento. Esto se debe a que cuanto más importante sea la carga útil, más potencia de procesamiento requerirá, lo que desviará esa potencia de otras tareas más críticas. Debido a que un solo subproceso ejecuta la carga útil, un atacante puede apoderarse de su sistema sin enviar muchas solicitudes, solo algunas con una carga útil mayor.
Afortunadamente, este es un programa que puedes resolver rápidamente usando el analizador de cuerpos de Express, un middleware que analizará los cuerpos de las solicitudes entrantes antes que sus controladores. Por lo tanto, puede limitar el tamaño del cuerpo de todas las solicitudes entrantes y aceptar aquellas que tengan un tamaño de cuerpo inferior a un límite predefinido aceptado.
#7 Mantener todos los entornos con diferentes credenciales y niveles de acceso
Una de las mayores vulnerabilidades a las que te puedes enfrentar es dejar tus aplicaciones web en manos de reglas de seguridad débiles. Esto sucede a menudo cuando deja las contraseñas de las cuentas de usuario, las configuraciones de los paquetes y los niveles de acceso predeterminados en diferentes entornos. Tanto los entornos de desarrollo como los de prueba suelen estar menos protegidos; Por lo tanto, si su configuración y contraseñas siguen siendo las mismas en producción, está expuesto a configuraciones erróneas y ataques de fuerza bruta.
La solución a esto es ajustar la configuración predeterminada para garantizar que cada entorno tenga diferentes credenciales y niveles de acceso. Esto garantiza que ninguna vulnerabilidad conocida llegue a producción.
#8: Supervisar las dependencias
Una de las cosas más comunes que suceden cuando trabajas con Node.js es que terminas teniendo demasiadas dependencias en un solo proyecto. Por lo tanto, si no los controla, podría tener múltiples vulnerabilidades y puntos de entrada que los atacantes podrían aprovechar. ¿La solución? Mantener un historial estricto de todas las dependencias en sus proyectos.
Esto le permitirá saber qué dependencias está utilizando en todo momento y le permitirá saber a cuáles debe dirigirse. La mejor manera de hacerlo es utilizar herramientas como Snyk y npm audits, que pueden ser de gran ayuda, especialmente si las utiliza en el contexto de un enfoque de mejora continua.
Intensificando tu juego de Node.js.
Estas prácticas son sólo la punta del iceberg. Hay muchas más cosas que puedes hacer para mejorar tu seguridad en Node.js. Afortunadamente, existen muchas guías y herramientas que puede seguir para asegurarse de tener el mayor nivel de protección posible. Sé que hacer esto a veces puede resultar desalentador, pero es la forma más segura de aprovechar todos los beneficios de Node sin comprometer la integridad de sus aplicaciones web, y se alinea bien con las responsabilidades descritas en la descripción del trabajo de NodeJS.
Fuente: BairesDev
