srcmini本文概述
查找Node.js安全漏洞并通过在有人入侵你的应用程序之前进行修复来保护它们。
有一些在线工具可用于查找PHP, WordPress, Joomla等中的常见安全漏洞, 并且它们可能无法检测你的应用程序是否基于Node.js构建。
在最新发现中, 超过80%的snyk用户发现其Node.js应用程序易受攻击
由于配置错误, NPM软件包过时等原因, 可能会存在数百个漏洞, 并且以下安全扫描程序应能够帮助你找到安全漏洞。
注意:本文重点介绍发现漏洞和添加安全保护的工具, 以了解如何保护node.js免受在线威胁。
Snyk
Snyk检查你的node.js GitHub存储库中的依赖项弱点, 并不断进行修复。你可以使用NPM安装它。使用Snyk有四个主要优点
- 测试弱势依赖
- 获取新漏洞的通知
- 通过必要的升级和补丁减轻风险
- 防止添加更多依赖项
你可以在公共Node.js应用程序GitHub存储库上免费使用Snyk。除了你的应用程序之外, 你还可以对公共NPM软件包(例如Express, Ionic等)执行测试。
你可以查看其中一个测试应用程序的扫描结果。
SourceClear
使用SourceClear扫描自动构建的Node.js应用程序, 并在部署到生产环境之前解决问题。 Source Clear可以帮助你构建安全的应用程序, 不仅可以构建Node.js, 还可以支持Python, Ruby和Java项目。
Source Clear管理大量库和漏洞数据库, 以检测项目中的所有类型的安全风险。使用Source Clear, 你可以灵活地与构建工具集成并自动扫描新提交。
你对所使用的库有完整的了解, 并查看它们是否易受攻击。
Node Security Platform
Node Security Platform也被称为nsp, 它是监视节点应用程序安全性的最受欢迎的解决方案之一。
你可以在GitHub拉取请求本身中添加检查, 因此不会在生产环境中部署易受攻击的代码。
NSP免费提供开源和第一个私有仓库。
Acunetix
Acunetix扫描你的整个网站, 以确定前端和服务器端应用程序中的安全漏洞, 并为你提供可操作的结果。
Acunetix测试了3000多个漏洞, 其中包括OWASP Top 10, XSS, SQLi等。你可以注册14天试用版, 以查看你的存储桶中是否有漏洞。
Retire.js
Retire.js检查你的代码中是否存在已知的公共漏洞, 并告知你是否检测到任何漏洞。Retire.js是命令行扫描程序, 可作为Chrome和Firefox扩展程序使用。
OWASP依赖性检查
与Retire.js相似, OWASP依赖项检查可以确定Node.js, Python和Ruby中是否有任何公开披露的漏洞。
你可以将其用作命令行, ant任务, Maven或Jenkins插件。
此外, 你可以考虑实施头盔以使用必要的HTTP标头保护你的应用程序。默认情况下, 头盔可帮助你应用以下标头。
- DNS预取
- 隐藏X-Powered-By
- HTTP严格传输安全
- 无嗅
- XSS保护
实施后, 你可以使用在线工具来验证HTTP标头。
NodeJsScan
静态代码扫描器。 NodeJsScan可以与CI / CD管道集成在一起, 并且可以在docker中使用。它的自托管解决方案带有漂亮的仪表板。
你可以将NodeJsScan用作基于Web的CLI或Python API。它扫描远程代码注入, 开放重定向, SQL注入, XSS等。
总结
上面的工具应该能够帮助你扫描nodejs应用程序中的安全漏洞, 以便你可以保护它们。除了保护核心Node.js应用程序之外, 你还应该考虑使用WAF来保护免受在线威胁和DDoS攻击。
评论前必须登录!
注册