Secure Coding

Javascript

Greenetics / Manticore labs

Bienvenidos!

Nodejs y Angular

2021

MSc. Adrián Égüez

Nodejs Angular

Secure Coding

Seguridad Aplicación

Greenetics / Manticore labs

MSc. Adrián Égüez

https://manticore-labs.com - info@manticore-labs.com

Seguridad Servidor

Manejo de Errores y excepciones

Seguridad Plataforma

OWasp Security Cheatsheet

Secure coding - Application Security

Nodejs

Cadena de Promesas

Greenetics / Manticore labs

MSc. Adrián Égüez

https://manticore-labs.com - info@manticore-labs.com

Async Await

Limite peticiones

No bloquear ciclo eventos

Secure coding - Application Security

Nodejs

Monitorear el ciclo de eventos

Greenetics / Manticore labs

MSc. Adrián Égüez

https://manticore-labs.com - info@manticore-labs.com

Logging

Escapar caracteres

Validaciones

Secure coding - Application Security

Nodejs

CSRF

Greenetics / Manticore labs

MSc. Adrián Égüez

https://manticore-labs.com - info@manticore-labs.com

Remover rutas innecesarias

Http Pollution

Fuerza Bruta

Secure coding - Application Security

Nodejs

Greenetics / Manticore labs

MSc. Adrián Égüez

https://manticore-labs.com - info@manticore-labs.com

Listas de control de acceso

En objetos importantes usar property descriptors

Devolver solo lo necesario

Secure coding - Manejo de errores y excepciones

Nodejs

Manejar excepciones no atrapadas

Greenetics / Manticore labs

MSc. Adrián Égüez

https://manticore-labs.com - info@manticore-labs.com

Escuchar errores de Event Emitters

Manejar Errores en tareas Asincronas

Seguridad del servidor

Nodejs

Settear cookies apropiadamente

Greenetics / Manticore labs

MSc. Adrián Égüez

https://manticore-labs.com - info@manticore-labs.com

Usar cabeceras de seguridad

Mantener los paquetes actualizados

Seguridad del servidor

Nodejs

Usar linters

Greenetics / Manticore labs

MSc. Adrián Égüez

https://manticore-labs.com - info@manticore-labs.com

No usar expresiones regulares inseguras

No usar funciones peligrosas

Seguridad del servidor

Nodejs

Usar modo estricto

Greenetics / Manticore labs

MSc. Adrián Égüez

https://manticore-labs.com - info@manticore-labs.com

Aderirse a principios de seguridad (Owasp)

Seguridad Aplicativo

Property Descriptors

Greenetics / Manticore labs

MSc. Adrián Égüez

https://manticore-labs.com - info@manticore-labs.com

Usados para mantener las propiedades de los objetos inmutables

No es lo mismo que "const"

Añade una capa extra de protección

Usar Typescript

Seguridad Aplicativo

Listas de control de acceso

Greenetics / Manticore labs

MSc. Adrián Égüez

https://manticore-labs.com - info@manticore-labs.com

Verificar si está en la lista par que pueda acceder

Seguridad Servidor

Cabeceras de Seguridad

Greenetics / Manticore labs

MSc. Adrián Égüez

https://manticore-labs.com - info@manticore-labs.com

Prevención de ataques

Strict-Transport-Security
(https)

X-Frame-Options
(iframe)

X-XSS-Protection
(deprecado pero buena practica)

Seguridad Servidor

Cabeceras de Seguridad

Greenetics / Manticore labs

MSc. Adrián Égüez

https://manticore-labs.com - info@manticore-labs.com

Prevención de ataques

Cache-Control - Pragma

(cache)

X-Download-Options
(IE - No ejecutar archivo descargado)

Expect-CT
(SSL)

Seguridad Servidor

Cabeceras de Seguridad

Greenetics / Manticore labs

MSc. Adrián Égüez

https://manticore-labs.com - info@manticore-labs.com

Prevención de ataques

Public-Key-Pins

(mejorar seguridad HTTPS)

X-Powered-By
(Removida)

Seguridad Servidor

Funciones peligrosas

Greenetics / Manticore labs

MSc. Adrián Égüez

https://manticore-labs.com - info@manticore-labs.com

Prevención de ejecución de código

eval()

child_process.exec

https://github.com/wisec/domxsswiki/wiki/Direct-Execution-Sinks

Seguridad Servidor

Regex Peligroso

Greenetics / Manticore labs

MSc. Adrián Égüez

https://manticore-labs.com - info@manticore-labs.com

Regular expression denial service ReDoS

vuln-regex-detector

https://github.com/davisjam/vuln-regex-detector

Seguridad Servidor

Strict Mode

Greenetics / Manticore labs

MSc. Adrián Égüez

https://manticore-labs.com - info@manticore-labs.com

(solo en javascript)

Usado para javascript legado

"use strict";

// codigo

Seguridad Servidor

Aderirse a principios de seguridad

Greenetics / Manticore labs

MSc. Adrián Égüez

https://manticore-labs.com - info@manticore-labs.com

OWASP

Guias

Top 10

bypassSecurityTrust

Seguridad Angular XSS

Greenetics / Manticore labs

MSc. Adrián Égüez

https://manticore-labs.com - info@manticore-labs.com

Prevención

Auditar las funciones bypassSecurityTrust

Cuidado innerHtml y property binding

Secure Coding Nodejs Angular

By Adrian Eguez

Secure Coding Nodejs Angular

Vulnerabilidades en la Web

  • 264