Paulo Pires, profile picture
Carregado porPaulo Pires
PDF, PPTX1,731 visualizações

Como Fazer Apps Node.Js Seguras

O documento fornece dicas sobre como criar aplicações Node.js de forma segura, discutindo riscos comuns como XSS, SSJSi, CSRF e ataques DoS. Ele recomenda validar dados de entrada, evitar eval(), atualizar versões, usar corretamente métodos HTTP, remover cabeçalhos desnecessários e incluir testes de segurança no desenvolvimento.

Tecnologia
Tópicos relacionados:
Node.js Development

Incorporar apresentação

Transferir como PDF, PPTX
Como Fazer Apps Node.Js SEGURAS
@paulo_hp
Eu não sou um especialista em segurança web!
Como você inicia uma aplicação?
Muita Coisa Pra Pensar
Regras de Negócio Modelagem Frameworks? Node.JS?
Você trabalha igual louco e coloca o app em produção
+ usuários + visibilidade + exposição
Você fica vulnerável
SE GU RAN ÇA?
Segurança quase nunca entra em pauta!
Maioria dos ataques acontecem na camada de aplicação
Como prevenir esses ataques em nossos apps Node.JS?
Defesa
XSS
localhost:8000/?name=<script>alert(1)</script>
Encode Untrusted Data
SSJSi
eval() is evil
{"symbol" : "ASDF"} A chamada para eval avalia assim a string: ({"symbol" : "ASDF"})
Mas se ao invés de um simples JSON, o atacante enviar um código JS malicioso?
res.end('success')
O servidor executa esse comando, retornando o texto "success" como resposta HTTP.
Com essa resposta, o atacante sabe que seu server é vulnerável.
E assim ele pode enviar códigos que realmente causam estragos.
DoS*deprecated
Um ataque efetivo DoS pode ser executado simplesmente enviando um comando
while(1)
Um descuido como esse pode dar acesso aos arquivos, processos e até ao seu banco NoSQL
Algumas pequenas coisas podem ser feitas para evitar, como validar inputs com RegEx e evitando o uso de eval()
e se você usa versão antiga, ATUALIZE!
CSRF
Ativando o uso de CSRF no Express.JS
app.js form.html
Garanta o uso correto dos metodos HTTP
Nomes de Cookies Genéricos
X-Powerd-By
Esse valor não interessa muito pra nós, e pode ser removido facilmente
Avalie os módulos externos do NPM
nodesecurity.io
Eduque os desenvolvedores com OWASP Top 10 owasp.org
Inclua testes de segurança no ciclo de desenvolvimento
vlw :D

Mais conteúdo relacionado

PDF
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
porClavis Segurança da Informação
 
PDF
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
porMagno Logan
 
PPTX
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
porMagno Logan
 
PDF
Segurança em aplicações web: pequenas ideias, grandes resultados
porAlex Camargo
 
PPTX
Segurança na web
porKaito Queiroz
 
PPTX
Workshop - Testes de Segurança
porAlan Carlos
 
PDF
Testes de segurança em aplicações web
porSynergia - Engenharia de Software e Sistemas
 
PPTX
Desenvolvimento de Software Seguro
porAugusto Lüdtke
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
porClavis Segurança da Informação
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
porMagno Logan
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
porMagno Logan
 
Segurança em aplicações web: pequenas ideias, grandes resultados
porAlex Camargo
 
Segurança na web
porKaito Queiroz
 
Workshop - Testes de Segurança
porAlan Carlos
 
Testes de segurança em aplicações web
porSynergia - Engenharia de Software e Sistemas
 
Desenvolvimento de Software Seguro
porAugusto Lüdtke
 

Mais procurados

PPT
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
porMagno Logan
 
PDF
Segurança em Aplicações Web conforme OWASP
porFabiano Pereira
 
PDF
Webgoat como ferramenta de aprendizado
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
Defensive Programming - by Alcyon Junior
porAlcyon Ferreira de Souza Junior, MSc
 
PDF
Segurança em Aplicações Web
porCassio Ramos
 
PPTX
Como se tornar um especialista em Desenvolvimento Seguro de Software
porAlcyon Ferreira de Souza Junior, MSc
 
PPTX
Webgoat Project - Apresentação
porDécio Castaldi, MBA/FIAP
 
PPTX
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
porRubens Guimarães - MTAC MVP
 
PPT
Testes de Segurança de Software (tech-ed 2008)
porConviso Application Security
 
PDF
Teste seguranca aplicacoes web security testing
porCristiano Caetano
 
PPT
Ameacas e Vulnerabilidades em Apps Web-2013
porKleitor Franklint Correa Araujo
 
PPTX
Explorando 5 falhas graves de segurança que todos programadores cometem
porAlcyon Ferreira de Souza Junior, MSc
 
PPTX
Teste de segurança em aplicações web ( sites )
porPablo Ribeiro
 
PPTX
Segurança de Aplicações WEB e OpenSource
porAlexandre Jesus Marcolino
 
PDF
THE WebSec
porKelvin Campelo
 
ODP
PHP Seguro em 2013
porPatrick Kaminski
 
PPTX
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
porAlcyon Ferreira de Souza Junior, MSc
 
PPTX
Web Hacking
porDenny Vriesman
 
PPTX
Desenvolvimento Web - Palestra Coding Night #3 - Microsoft
porRubens Guimarães - MTAC MVP
 
PPT
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
porClavis Segurança da Informação
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
porMagno Logan
 
Segurança em Aplicações Web conforme OWASP
porFabiano Pereira
 
Webgoat como ferramenta de aprendizado
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Defensive Programming - by Alcyon Junior
porAlcyon Ferreira de Souza Junior, MSc
 
Segurança em Aplicações Web
porCassio Ramos
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
porAlcyon Ferreira de Souza Junior, MSc
 
Webgoat Project - Apresentação
porDécio Castaldi, MBA/FIAP
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
porRubens Guimarães - MTAC MVP
 
Testes de Segurança de Software (tech-ed 2008)
porConviso Application Security
 
Teste seguranca aplicacoes web security testing
porCristiano Caetano
 
Ameacas e Vulnerabilidades em Apps Web-2013
porKleitor Franklint Correa Araujo
 
Explorando 5 falhas graves de segurança que todos programadores cometem
porAlcyon Ferreira de Souza Junior, MSc
 
Teste de segurança em aplicações web ( sites )
porPablo Ribeiro
 
Segurança de Aplicações WEB e OpenSource
porAlexandre Jesus Marcolino
 
THE WebSec
porKelvin Campelo
 
PHP Seguro em 2013
porPatrick Kaminski
 
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
porAlcyon Ferreira de Souza Junior, MSc
 
Web Hacking
porDenny Vriesman
 
Desenvolvimento Web - Palestra Coding Night #3 - Microsoft
porRubens Guimarães - MTAC MVP
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
porClavis Segurança da Informação
 

Mais de Paulo Pires

PDF
GraphQL 101
porPaulo Pires
 
PDF
Side Effects: Uma Saga até o React
porPaulo Pires
 
PDF
MobX: State Management made easy
porPaulo Pires
 
PDF
We Work Remotely!
porPaulo Pires
 
PDF
Angular 2
porPaulo Pires
 
PDF
NodeBR, um ano memoravel!
porPaulo Pires
 
PDF
JS Mad Science
porPaulo Pires
 
PDF
Node.js and Google Cloud
porPaulo Pires
 
PDF
Go e MongoDB
porPaulo Pires
 
PDF
ES6
porPaulo Pires
 
PDF
Node não é filme de Terror
porPaulo Pires
 
PDF
A vida além do jQuery
porPaulo Pires
 
GraphQL 101
porPaulo Pires
 
Side Effects: Uma Saga até o React
porPaulo Pires
 
MobX: State Management made easy
porPaulo Pires
 
We Work Remotely!
porPaulo Pires
 
Angular 2
porPaulo Pires
 
NodeBR, um ano memoravel!
porPaulo Pires
 
JS Mad Science
porPaulo Pires
 
Node.js and Google Cloud
porPaulo Pires
 
Go e MongoDB
porPaulo Pires
 
ES6
porPaulo Pires
 
Node não é filme de Terror
porPaulo Pires
 
A vida além do jQuery
porPaulo Pires
 

Como Fazer Apps Node.Js Seguras