Charla impartida en el I Meetup de OWASP Madrid. Como prevenir las 10 vulnerabilidades, recogidas en el OWASP Top 10, en NodeJS

1. Seguridad en NodeJS
OWASP Top 10 Vulnerabilities

2. Acerca de mí
Raúl Requero
Arquitecto en Vizzuality
Coorganizador de OWASP Madrid
https://github.com/rrequero
@rrequero

3. OWASP Top 10 aplicado a NodeJS
Acerca de la charla de hoy…

4. OWASP Top 10
2013

5. A1-Injection
A2-Broken
Authentication and
Session Management
A3 - XSS
A4-Insecure Direct
Object References
A5-Security
Misconfiguration
A6-Sensitive Data
Exposure
A7-Access Control
A8-Cross-Site Request
Forgery (CSRF)
A9-Using Components
with Known
Vulnerabilities
A10-Unvalidated
Redirects and Forwards

6. https://www.owasp.org/index.php/Top_10_2013-Top_10

7. OWASP Node Goat
Project
https://github.com/OWASP/NodeGoat

8. A1-Injection

9. A1 - Injection
Nunca ejecutar querys con parámetros del front sin comprobarlos
Utilizar los sistemas de generación de querys de los orm’s

10. A1 - Injection

11. A1 - Injection

12. A2-Broken Authentication
and Session Management

13. A2 - Broken Authentication and Session
Management
No guardar las password en claro en la bbdd
No enviar el session id en la url

14. Usar bcrypt y guardar las password encriptada
A2 - Broken Authentication and Session
Management

15. A2 - Broken Authentication and Session
Management

16. A3 - XSS

17. A3-Cross-Site Scripting (XSS)
Escapar siempre el texto que envía el usuario, al guardarlo y al mostrarlo en el
html

19. Plantillas en servidor
React y Angular escapan todo el contenido que pintan por defecto
para prevenir un XSS
A3-Cross-Site Scripting (XSS)

20. A4-Insecure Direct Object
References

21. A4-Insecure Direct Object References
No expongas información sensible de la implementación al usuario.
Ejemplo: No envíes el id del usuario logado en la url para utilizarlo
después.

22. A4-Insecure Direct Object References
Solución: Obtén de la sesión el dato que necesitas (en el caso de datos del
usuario logado)

23. A5-Security Misconfiguration

24. A5 - Security Misconfiguration
No expongas más información de tu aplicación de la estrictamente
necesaria
Ejemplo: http://www.mrlooquer.com/list?q=%22X-Powered-
By:%20Express%22&page=2

25. A5-Security Misconfiguration
https://github.com/helmetjs

26. A6-Sensitive Data Exposure

27. A6 - Sensitive Data Exposure
Encripta todas las comunicaciones con tu aplicación para evitar robos de
información
Guarda unicamente lo estrictamente necesario y la información necesaria y
sensible guardala encriptada.

28. A6 - Sensitive Data Exposure

29. A7 - Access Control

30. A7 - Access Control
Securiza el acceso a los endpoints de la aplicación según el rol que puede
acceder

31. A7 - Access Control

32. A8-Cross-Site Request
Forgery (CSRF)

33. A8 - Cross-Site Request Forgery (CSRF)
Agrega un token a todas tus llamadas POST, PUT y PATCH que identifican
el origen de la llamada.
De este modo evitaras que un código malicioso pueda hacer llamadas a tus
endpoints que tu no controles.

34. A8 - Cross-Site Request Forgery (CSRF)
https://github.com/expressjs/csurf

35. A9-Using Components with
Known Vulnerabilities

36. A9 - Using Components with Known
Vulnerabilities
No ejecutes el servidor con permisos de root
Usa JSHint/JSLint
Intenta utilizar librerías que estén suficientemente testadas
Mantén actualizadas las librerías que utilizas para evitar posibles vulnerabilidades en las librerías
Utiliza el paquete nsp y chequea regularmente las librerías que utilizas en busca de posibles
vulnerabilidades
https://nodesecurity.io/opensource

37. A10-Unvalidated Redirects
and Forwards

38. A10 - Unvalidated Redirects and Forwards
No hagas un redirect al usuario a urls que vienen definidas en query
params, etc sin chequear el destino
Intenta siempre que las urls donde redirigas no se estén definidas en un
entorno donde puedan ser cambiadas por un código malicioso

39. ¿Preguntas?