Aumente a segurança do seu aplicativo Node.js! Mergulhe nas melhores práticas – desde o uso de HTTPS, validação de dados, emprego de cabeçalhos de segurança até auditorias regulares de dependência.
Nos últimos anos, a popularidade do Node.js tem aumentado constantemente. Grandes empresas como Twitter, eBay, Netflix, Reddit e Paypal usam-no para potencializar seus back-ends e lidar com o tráfego crescente. E as startups também não ficam para trás, pois estão adotando esse tempo de execução Javascript para construir seus sites e aproveitar suas vantagens.
Nº 1: Proteja-se contra injeções de consulta com consultas parametrizadas
As injeções de SQL/NoSQL são um dos ataques mais comuns que um site pode sofrer hoje em dia. Agentes maliciosos enviam consultas como se fossem entradas do usuário e forçam o sistema a fornecer informações confidenciais por engano. Normalmente, isso é o que acontece quando você usa strings JS ou concatenações de strings para inserir valores em consultas.
Felizmente, você pode evitar isso usando uma das muitas bibliotecas Node.js com recursos integrados contra essas injeções. Mongoose é um dos melhores nisso, pois fornece suporte para consultas parametrizadas indexadas. Ao fazer isso, você tratará todas as entradas como tal, evitando que qualquer informação seja confundida com uma instrução SQL executável.
Nº 2 Preste atenção aos cabeçalhos HTTP
Sejamos realistas: os cabeçalhos HTTP podem ser benéficos e prejudiciais. Usar os errados ou mesmo empregar os certos nos lugares errados pode levar a scripts entre sites e clickjacking, entre outros ataques conhecidos. O que você pode fazer? Você não pode se livrar dos cabeçalhos HTTP, então você pode fazer uma das duas coisas: prestar atenção a cada um e avaliá-los manualmente ou protegê-los com o Helmet.
Helmet é um módulo Node relativamente pequeno, mas bastante poderoso, que pode ajudá-lo a melhorar a segurança do seu cabeçalho apenas instalando-o. Claro, você pode configurá-lo facilmente para aprimorar seus recursos, mas, no geral, você não precisa fazer muito para obter ajuda para adicionar ou remover cabeçalhos.
#3 Não execute Node.js com um usuário root
Isso pode parecer algo bastante básico, mas você ficaria surpreso com quantos desenvolvedores não prestam atenção a isso. A execução do código Node.js com acesso root abre a porta para qualquer agente mal-intencionado atacar você quando você não espera. Usar um usuário root é realmente mais fácil para tarefas específicas (como alterar um diretório que o usuário não tem permissão para escrever), mas você deve tentar algumas soluções alternativas para evitar que isso aconteça.
Sim, entendo se você vê isso como um exagero, mas vale ressaltar que cada vez que você executa um código com sudo, você está se expondo a ataques. Mesmo quando isso parece o pior cenário, certifique-se sempre de executar o código com usuários não-root.
#4 Tenha cuidado com avaliação
Ou não o use, se possível. Claro, eval pode tornar seu código mais dinâmico, mas também pode permitir que invasores insiram código malicioso que seu aplicativo acabará executando. Como eval executa qualquer sequência de caracteres como código, você nunca pode ter certeza sobre com que tipo de entrada a instrução eval lidará. Naturalmente, isso pode levar a todos os tipos de problemas de segurança, como ataques DoS.
Esses ataques estão no extremo do que você pode sofrer por meio de avaliação. Você pode usá-lo e não ter nenhum problema. Você pode usá-lo com segurança se for cuidadoso o suficiente, mas esse é o problema – você precisa prestar atenção a muitos detalhes para evitar a vasta gama de problemas que podem surgir.
Nº 5: Use 2FA para impedir ataques automatizados
Um sistema de autenticação quebrado é uma das maiores vulnerabilidades que você pode ter. Se você implementar políticas fracas de gerenciamento de senhas e sessões em seus aplicativos, estará exposto a invasores que roubam credenciais e implantam códigos maliciosos em seus sites. É por isso que você deve considerar os vários aspectos que acompanham a autenticação: criação e recuperação de senha, gerenciamento de ID, etc.
Você sempre pode usar soluções existentes como OAuth para lidar com tudo isso, mas há outra coisa que você deve usar: autenticação de dois fatores (2FA). Você pode integrá-lo ao seu aplicativo ou site por meio de pacotes npm ou Yarn e gerar tokens únicos para todos os usuários.
Nº 6 Aceite apenas cargas úteis de pequeno porte
Qualquer aplicativo Node.js pode receber grandes solicitações que podem colocar seu desempenho sob ameaça. Isso porque quanto mais significativa a carga útil, mais poder de processamento será necessário, o que desviará esse poder de outras tarefas mais críticas. Como um único thread executa a carga útil, um invasor pode tomar seu sistema sem enviar muitas solicitações – apenas algumas com uma carga útil maior.
Felizmente, esse é um programa que você pode resolver rapidamente usando o analisador de corpo do Express, um middleware que analisará os corpos das solicitações recebidas antes de seus manipuladores. Assim, você pode limitar o tamanho do corpo de todas as solicitações recebidas e aceitar aquelas que possuem tamanho de corpo abaixo de um limite predefinido aceito.
Nº 7 Mantenha todos os ambientes com diferentes credenciais e níveis de acesso
Uma das maiores vulnerabilidades que você pode enfrentar é deixar seus aplicativos web nas mãos de regras de segurança fracas. Isso geralmente acontece quando você deixa senhas de contas de usuário, configurações de pacotes e níveis de acesso padrão nos diferentes ambientes. Tanto os ambientes de desenvolvimento quanto os de teste geralmente são menos protegidos; portanto, se suas configurações e senhas permanecerem as mesmas na produção, você estará exposto a configurações incorretas e ataques de força bruta.
A solução para isso é ajustar as configurações padrão para garantir que cada ambiente tenha credenciais e níveis de acesso distintos. Assim, você garante que nenhuma vulnerabilidade conhecida chegue à produção.
Nº 8: Monitorar Dependências
Uma das coisas mais comuns que acontecem quando você trabalha com Node.js é acabar tendo muitas dependências em apenas um projeto. Portanto, se você não os controlar, poderá ter diversas vulnerabilidades e pontos de entrada para serem explorados pelos invasores. A solução? Para manter um histórico rigoroso de todas as dependências em seus projetos.
Isso permitirá que você saiba quais dependências você está usando o tempo todo e lhe dará a possibilidade de saber quais delas você precisa direcionar. A melhor maneira de fazer isso é usar ferramentas como auditorias Snyk e npm, que podem ajudar muito, principalmente se você as usar no contexto de uma abordagem de melhoria contínua.
Intensificando seu jogo Node.js.
Essas práticas são apenas a ponta do iceberg. Há muito mais coisas que você pode fazer para aprimorar seu jogo de segurança no Node.js. Felizmente, existem muitos guias e ferramentas que você pode seguir para garantir que terá o mais alto nível de proteção possível. Sei que fazer isso às vezes pode ser assustador, mas é a maneira mais segura de aproveitar todos os benefícios do Node sem comprometer a integridade de seus aplicativos da web, alinhando-se bem com as responsabilidades descritas na descrição de trabalho do NodeJS.
Fonte: BairesDev
