Adrian Eguez
Windows, Mobile and Web Developer with Node.js and Angular, Proffesor in Escuela Politécnica Nacional
Secure Coding
Javascript
Greenetics / Manticore labs
Bienvenidos!
Nodejs y Angular
2021
MSc. Adrián Égüez
Nodejs Angular
Secure Coding
Seguridad Aplicación
Greenetics / Manticore labs
MSc. Adrián Égüez
https://manticore-labs.com - info@manticore-labs.com
Seguridad Servidor
Manejo de Errores y excepciones
Seguridad Plataforma
OWasp Security Cheatsheet
Secure coding - Application Security
Nodejs
Cadena de Promesas
Greenetics / Manticore labs
MSc. Adrián Égüez
https://manticore-labs.com - info@manticore-labs.com
Async Await
Limite peticiones
No bloquear ciclo eventos
Secure coding - Application Security
Nodejs
Monitorear el ciclo de eventos
Greenetics / Manticore labs
MSc. Adrián Égüez
https://manticore-labs.com - info@manticore-labs.com
Logging
Escapar caracteres
Validaciones
Secure coding - Application Security
Nodejs
CSRF
Greenetics / Manticore labs
MSc. Adrián Égüez
https://manticore-labs.com - info@manticore-labs.com
Remover rutas innecesarias
Http Pollution
Fuerza Bruta
Secure coding - Application Security
Nodejs
Greenetics / Manticore labs
MSc. Adrián Égüez
https://manticore-labs.com - info@manticore-labs.com
Listas de control de acceso
En objetos importantes usar property descriptors
Devolver solo lo necesario
Secure coding - Manejo de errores y excepciones
Nodejs
Manejar excepciones no atrapadas
Greenetics / Manticore labs
MSc. Adrián Égüez
https://manticore-labs.com - info@manticore-labs.com
Escuchar errores de Event Emitters
Manejar Errores en tareas Asincronas
Seguridad del servidor
Nodejs
Settear cookies apropiadamente
Greenetics / Manticore labs
MSc. Adrián Égüez
https://manticore-labs.com - info@manticore-labs.com
Usar cabeceras de seguridad
Mantener los paquetes actualizados
Seguridad del servidor
Nodejs
Usar linters
Greenetics / Manticore labs
MSc. Adrián Égüez
https://manticore-labs.com - info@manticore-labs.com
No usar expresiones regulares inseguras
No usar funciones peligrosas
Seguridad del servidor
Nodejs
Usar modo estricto
Greenetics / Manticore labs
MSc. Adrián Égüez
https://manticore-labs.com - info@manticore-labs.com
Aderirse a principios de seguridad (Owasp)
Seguridad Aplicativo
Property Descriptors
Greenetics / Manticore labs
MSc. Adrián Égüez
https://manticore-labs.com - info@manticore-labs.com
Usados para mantener las propiedades de los objetos inmutables
No es lo mismo que "const"
Añade una capa extra de protección
Usar Typescript
Seguridad Aplicativo
Listas de control de acceso
Greenetics / Manticore labs
MSc. Adrián Égüez
https://manticore-labs.com - info@manticore-labs.com
Verificar si está en la lista par que pueda acceder
Seguridad Servidor
Cabeceras de Seguridad
Greenetics / Manticore labs
MSc. Adrián Égüez
https://manticore-labs.com - info@manticore-labs.com
Prevención de ataques
Strict-Transport-Security
(https)
X-Frame-Options
(iframe)
X-XSS-Protection
(deprecado pero buena practica)
Seguridad Servidor
Cabeceras de Seguridad
Greenetics / Manticore labs
MSc. Adrián Égüez
https://manticore-labs.com - info@manticore-labs.com
Prevención de ataques
Cache-Control - Pragma
(cache)
X-Download-Options
(IE - No ejecutar archivo descargado)
Expect-CT
(SSL)
Seguridad Servidor
Cabeceras de Seguridad
Greenetics / Manticore labs
MSc. Adrián Égüez
https://manticore-labs.com - info@manticore-labs.com
Prevención de ataques
Public-Key-Pins
(mejorar seguridad HTTPS)
X-Powered-By
(Removida)
Seguridad Servidor
Funciones peligrosas
Greenetics / Manticore labs
MSc. Adrián Égüez
https://manticore-labs.com - info@manticore-labs.com
Prevención de ejecución de código
eval()
child_process.exec
https://github.com/wisec/domxsswiki/wiki/Direct-Execution-Sinks
Seguridad Servidor
Regex Peligroso
Greenetics / Manticore labs
MSc. Adrián Égüez
https://manticore-labs.com - info@manticore-labs.com
Regular expression denial service ReDoS
vuln-regex-detector
https://github.com/davisjam/vuln-regex-detector
Seguridad Servidor
Strict Mode
Greenetics / Manticore labs
MSc. Adrián Égüez
https://manticore-labs.com - info@manticore-labs.com
(solo en javascript)
Usado para javascript legado
"use strict";
// codigo
Seguridad Servidor
Aderirse a principios de seguridad
Greenetics / Manticore labs
MSc. Adrián Égüez
https://manticore-labs.com - info@manticore-labs.com
OWASP
Guias
Top 10
bypassSecurityTrust
Seguridad Angular XSS
Greenetics / Manticore labs
MSc. Adrián Égüez
https://manticore-labs.com - info@manticore-labs.com
Prevención
Auditar las funciones bypassSecurityTrust
Cuidado innerHtml y property binding
Secure Coding Nodejs Angular
By Adrian Eguez
Secure Coding Nodejs Angular
Vulnerabilidades en la Web
