Alejandro Oviedo García
Alejandro is a developer who loves learning new things. He is passionate about education, electronics, Open Source, and community-driven events.
(In)Seguridad en aplicaciones Node.js
bit.ly/seguridad-node
@a0viedo
No importa qué tan bueno seas, todo código es propenso a bugs
Reaccionar rápido es tan importante cómo prevenir
Input del usuario
Demo
childProcess.execFile / childProcess.spawn to the rescue
"Voy a escribir mi propio parser de HTML"
"Voy a escribir mi propio parser de XML"
"Voy a escribir mi propio parser de JSON"
"Voy a escribir mi propio parser de cookies"
"Voy a escribir mi propio parser de URLs"
"Voy a escribir mi propio algoritmo de criptografía"
Inyecciones SQL
Pero MongoDB no usa SQL, por lo que está todo bien
demo nosql
Los drivers de MySQL y PostgreSQL permiten consultas parametrizadas
Los query builders y ORMs son tus amigos: Knex.js, Bookshelf.js, Sequelize.js, etc.
Todas las dependencias deben instalarse por HTTPS
Tooling
nsp
snyk
Express / Restify
Express está algo roto
(por default)
- Deshabilitar X-Powered
- Usar helmet / lusca
- Usar csurf
- Usar nombre de cookies genéricos
Qué nos falta
Paquetes firmados en npm (!!!)
Auditorías de seguridad de pentesters
Exigencia de mejores valores por defecto a autores de módulos / frameworks
Recursos
¡Gracias!
twitter.com/a0viedo
github.com/a0viedo
(In)Seguridad en aplicaciones Node.js
By Alejandro Oviedo García
