JavaScripti turvalisuse parimate tavade juhend: haavatavuste ennetamise strateegiad

JavaScript, olles kaasaegsete veebirakenduste selgroog, nõuab hoolikat tähelepanu turvalisusele. Selle laialdane kasutus nii esiotsa kui ka tagaotsa keskkondades (Node.js) muudab selle pahatahtlike osalejate peamiseks sihtmärgiks. See põhjalik juhend kirjeldab olulisi JavaScripti turvalisuse parimaid tavasid, et leevendada levinud haavatavusi ja tugevdada teie rakendusi arenevate ohtude vastu. Need strateegiad on rakendatavad globaalselt, sõltumata teie konkreetsest arenduskeskkonnast või piirkonnast.

Levinud JavaScripti haavatavuste mõistmine

Enne ennetustehnikatesse süvenemist on oluline mõista kõige levinumaid JavaScripti haavatavusi:

• Saidideülene skriptimine (XSS): Pahatahtlike skriptide süstimine usaldusväärsetesse veebisaitidesse, mis võimaldab ründajatel käivitada suvalist koodi kasutaja brauseris.
• Saidideülene päringu võltsimine (CSRF): Kasutajate petmine sooritama toiminguid, mida nad ei kavatsenud, sageli autenditud seansse ära kasutades.
• Süstimisrünnakud: Pahatahtliku koodi süstimine serveripoolsetesse JavaScripti rakendustesse (nt Node.js) kasutaja sisendite kaudu, mis viib andmeleketeni või süsteemi kompromiteerimiseni.
• Autentimis- ja autoriseerimisvead: Nõrgad või valesti rakendatud autentimis- ja autoriseerimismehhanismid, mis annavad volitamata juurdepääsu tundlikele andmetele või funktsionaalsusele.
• Tundlike andmete paljastamine: Tundliku teabe (nt API-võtmed, paroolid) tahtmatu paljastamine kliendipoolses koodis või serveripoolsetes logides.
• Sõltuvuste haavatavused: Aegunud või haavatavate kolmandate osapoolte teekide ja raamistike kasutamine.
• Teenusetõkestamise rünne (DoS): Serveri ressursside kurnamine, et muuta teenus seaduslikele kasutajatele kättesaamatuks.
• Klikikaaperdamine (Clickjacking): Kasutajate petmine klikkima peidetud või maskeeritud elementidele, mis viib soovimatute toiminguteni.

Esiotsa turvalisuse parimad tavad

Esiots, olles otse kasutajatele avatud, nõuab tugevaid turvameetmeid kliendipoolsete rünnakute vältimiseks.

1. Saidideülese skriptimise (XSS) ennetamine

XSS on üks levinumaid ja ohtlikumaid veebihaavatavusi. Siin on, kuidas seda ennetada:

• Sisendi valideerimine ja puhastamine:
  • Serveripoolne valideerimine: Valideerige ja puhastage alati kasutaja sisendeid serveris *enne* nende andmebaasi salvestamist või brauseris renderdamist. See on teie esimene kaitseliin.
  • Kliendipoolne valideerimine: Kuigi see ei asenda serveripoolset valideerimist, võib kliendipoolne valideerimine pakkuda kasutajatele kohest tagasisidet ja vähendada tarbetuid serveripäringuid. Kasutage seda andmete vormingu valideerimiseks (nt e-posti aadressi formaat), kuid *ärge kunagi* usaldage seda turvalisuse osas.
  • Väljundi kodeerimine: Kodeerige andmed õigesti, kui neid brauseris kuvate. Kasutage HTML-olemite kodeerimist, et vältida märke, millel on HTML-is eriline tähendus (nt < asemel <, > asemel >, & asemel &).
  • Sisu turvapoliitika (CSP): Rakendage CSP, et kontrollida ressursse (nt skriptid, stiililehed, pildid), mida brauseril on lubatud laadida. See vähendab oluliselt XSS-rünnakute mõju, takistades volitamata skriptide käivitamist.
• Kasutage turvalisi mallimootoreid: Mallimootorid nagu Handlebars.js või Vue.js pakuvad sisseehitatud mehhanisme kasutaja sisestatud andmete vältimiseks, vähendades XSS-i riski.
• Vältige eval() kasutamist: Funktsioon eval() käivitab suvalist koodi, mis muudab selle suureks turvariskiks. Vältige seda alati, kui võimalik. Kui peate seda kasutama, veenduge, et sisend on rangelt kontrollitud ja puhastatud.
• HTML-olemite vältimine: Teisendage erimärgid nagu <, >, &, " ja ' nende vastavateks HTML-olemiteks, et vältida nende tõlgendamist HTML-koodina.

Näide (JavaScript):

            function escapeHtml(unsafe) {
  return unsafe
    .replace(/&/g, "&")
    .replace(//g, ">")
    .replace(/"/g, """)
    .replace(/'/g, "'");
}

const userInput = "";
const escapedInput = escapeHtml(userInput);
console.log(escapedInput); // Väljund: <script>alert('XSS');</script>

// Kasutage puhastatud sisendit kasutaja sisendi kuvamisel brauseris.
document.getElementById('output').textContent = escapedInput;
            

              
                Copy
              
            
          

Näide (Sisu turvapoliitika):

            Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' https://trusted-cdn.example.com; style-src 'self' https://trusted-cdn.example.com; img-src 'self' data:;
            

              
                Copy
              
            
          

See CSP direktiiv lubab skripte samast päritolust ('self'), tekstisiseseid skripte ('unsafe-inline') ja skripte aadressilt https://trusted-cdn.example.com. See piirab teisi allikaid, takistades ründaja poolt süstitud volitamata skriptide käivitamist.

2. Saidideülese päringu võltsimise (CSRF) ennetamine

CSRF-ründed petavad kasutajaid sooritama toiminguid ilma nende teadmata. Siin on, kuidas end nende eest kaitsta:

• CSRF-tokenid: Genereerige iga kasutajaseansi jaoks unikaalne, ettearvamatu token ja lisage see kõikidesse olekut muutvatesse päringutesse (nt vormide esitamised, API-kõned). Server kontrollib tokenit enne päringu töötlemist.
• SameSite küpsised: Kasutage küpsiste jaoks atribuuti SameSite, et kontrollida, millal küpsised saadetakse saitideüleste päringutega. SameSite=Strict seadistamine takistab küpsise saatmist saitideüleste päringutega, leevendades CSRF-rünnakuid. SameSite=Lax lubab küpsise saata tipptaseme GET-päringutega, mis navigeerivad kasutaja päritolusaidile.
• Topelt-esitamise küpsised: Seadistage küpsisesse juhuslik väärtus ja lisage see ka peidetud vormiväljale. Server kontrollib enne päringu töötlemist, et mõlemad väärtused ühtivad. See on vähem levinud lähenemine kui CSRF-tokenid.

Näide (CSRF-tokeni genereerimine - serveripoolne):

            const crypto = require('crypto');

function generateCsrfToken() {
  return crypto.randomBytes(32).toString('hex');
}

// Salvestage token kasutaja seanssi.
req.session.csrfToken = generateCsrfToken();

// Lisage token peidetud vormiväljale või AJAX-päringute päisesse.

            

              
                Copy
              
            
          

Näide (CSRF-tokeni kontrollimine - serveripoolne):

            // Kontrollige päringust saadud tokenit seansis salvestatud tokeniga.
if (req.body.csrfToken !== req.session.csrfToken) {
  return res.status(403).send('CSRF token mismatch');
}

            

              
                Copy
              
            
          

3. Turvaline autentimine ja autoriseerimine

Tugevad autentimis- ja autoriseerimismehhanismid on tundlike andmete ja funktsionaalsuse kaitsmiseks üliolulised.

• Kasutage tugevaid paroole: Kehtestage tugevad paroolipoliitikad (nt minimaalne pikkus, keerukuse nõuded).
• Rakendage mitmefaktorilist autentimist (MFA): Nõudke kasutajatelt mitut autentimisvormi (nt parool ja kood mobiilirakendusest), et suurendada turvalisust. MFA on laialdaselt kasutusel kogu maailmas.
• Hoidke paroole turvaliselt: Ärge kunagi salvestage paroole lihttekstina. Kasutage paroolide räsimiseks enne andmebaasi salvestamist tugevaid räsialgoritme nagu bcrypt või Argon2. Lisage sool vikerkaare tabeli rünnakute vältimiseks.
• Rakendage korrektne autoriseerimine: Kontrollige juurdepääsu ressurssidele kasutaja rollide ja lubade alusel. Veenduge, et kasutajatel on juurdepääs ainult neile vajalikele andmetele ja funktsionaalsusele.
• Kasutage HTTPS-i: Krüpteerige kogu suhtlus kliendi ja serveri vahel HTTPS-iga, et kaitsta edastatavaid tundlikke andmeid.
• Nõuetekohane seansihaldus: Rakendage turvalisi seansihaldustavasid, sealhulgas:
  • Seansiküpsise atribuutide (nt HttpOnly, Secure, SameSite) õige seadistamine.
  • Tugevate seansi ID-de kasutamine.
  • Seansi ID-de regenereerimine pärast sisselogimist.
  • Seansi ajalõppude rakendamine.
  • Seansside kehtetuks tunnistamine väljalogimisel.

Näide (Parooli räsimine bcryptiga):

            const bcrypt = require('bcrypt');

async function hashPassword(password) {
  const saltRounds = 10; // Kohandage soolaraundide arvu jõudluse ja turvalisuse kompromissi jaoks.
  const hashedPassword = await bcrypt.hash(password, saltRounds);
  return hashedPassword;
}

async function comparePassword(password, hashedPassword) {
  const match = await bcrypt.compare(password, hashedPassword);
  return match;
}

            

              
                Copy
              
            
          

4. Tundlike andmete kaitsmine

Vältige tundlike andmete juhuslikku või tahtlikku paljastamist.

• Vältige tundlike andmete hoidmist kliendi poolel: Minimeerige brauseris hoitavate tundlike andmete hulka. Vajadusel krüpteerige andmed enne nende salvestamist.
• Puhastage andmed enne kuvamist: Puhastage andmed enne nende brauseris kuvamist, et vältida XSS-rünnakuid ja muid haavatavusi.
• Kasutage HTTPS-i: Kasutage alati HTTPS-i andmete krüpteerimiseks kliendi ja serveri vahelisel edastusel.
• Kaitske API-võtmeid: Hoidke API-võtmeid turvaliselt ja vältige nende paljastamist kliendipoolses koodis. Kasutage API-võtmete haldamiseks keskkonnamuutujaid ja serveripoolseid proksisid.
• Vaadake koodi regulaarselt üle: Viige läbi põhjalikke koodiülevaatusi, et tuvastada potentsiaalseid turvaauke ja andmete paljastamise riske.

5. Sõltuvuste haldamine

Kolmandate osapoolte teegid ja raamistikud võivad tuua kaasa haavatavusi. Sõltuvuste tõhus haldamine on hädavajalik.

• Hoidke sõltuvused ajakohased: Uuendage regulaarselt oma sõltuvusi uusimatele versioonidele, et paigata teadaolevaid haavatavusi.
• Kasutage sõltuvuste haldamise tööriista: Kasutage oma sõltuvuste haldamiseks ja nende versioonide jälgimiseks tööriistu nagu npm, yarn või pnpm.
• Auditeerige sõltuvusi haavatavuste suhtes: Kasutage oma sõltuvuste skannimiseks teadaolevate haavatavuste suhtes tööriistu nagu npm audit või yarn audit.
• Arvestage tarneahelaga: Olge teadlik turvariskidest, mis on seotud teie sõltuvuste sõltuvustega (transitiivsed sõltuvused).
• Kinnitage sõltuvuste versioonid: Kasutage konkreetseid versiooninumbreid (nt 1.2.3) versioonivahemike (nt ^1.2.3) asemel, et tagada järjepidevad ehitused ja vältida ootamatuid uuendusi, mis võivad tuua kaasa haavatavusi.

Tagaotsa (Node.js) turvalisuse parimad tavad

Node.js rakendused on samuti haavatavad erinevate rünnakute suhtes, mis nõuab hoolikat tähelepanu turvalisusele.

1. Süstimisrünnakute ennetamine

Süstimisründed kasutavad ära haavatavusi selles, kuidas rakendused käsitlevad kasutaja sisendit, võimaldades ründajatel süstida pahatahtlikku koodi.

• SQL-süstimine: Kasutage SQL-süstimise rünnakute vältimiseks parameetritega päringuid või objekt-relatsioonilisi kaardistajaid (ORM). Parameetritega päringud käsitlevad kasutaja sisendit andmetena, mitte käivitatava koodina.
• Käskude süstimine: Vältige exec() või spawn() kasutamist shellikäskude käivitamiseks kasutaja sisestatud andmetega. Kui peate neid kasutama, puhastage sisend hoolikalt, et vältida käskude süstimist.
• LDAP-süstimine: Puhastage kasutaja sisend enne selle kasutamist LDAP-päringutes, et vältida LDAP-süstimise rünnakuid.
• NoSQL-süstimine: Kasutage NoSQL-andmebaasidega korrektseid päringute koostamise tehnikaid, et vältida NoSQL-süstimise rünnakuid.

Näide (SQL-süstimise ennetamine parameetritega päringutega):

            const mysql = require('mysql');

const connection = mysql.createConnection({
  host: 'localhost',
  user: 'user',
  password: 'password',
  database: 'database'
});

const userId = req.params.id; // Kasutaja sisestatud andmed

// Kasutage parameetritega päringut SQL-süstimise vältimiseks.
connection.query('SELECT * FROM users WHERE id = ?', [userId], (error, results, fields) => {
  if (error) {
    console.error(error);
    return res.status(500).send('Internal Server Error');
  }
  res.json(results);
});

            

              
                Copy
              
            
          

2. Sisendi valideerimine ja puhastamine (serveripoolne)

Valideerige ja puhastage alati kasutaja sisendeid serveris, et vältida erinevat tüüpi rünnakuid.

• Valideerige andmetüüpe: Veenduge, et kasutaja sisend vastab oodatud andmetüübile (nt number, string, e-post).
• Puhastage andmed: Eemaldage või vältige potentsiaalselt pahatahtlikke märke kasutaja sisendist. Kasutage sisendi puhastamiseks teeke nagu validator.js või DOMPurify.
• Piirake sisendi pikkust: Piirake kasutaja sisendi pikkust, et vältida puhvri ületäitumise rünnakuid ja muid probleeme.
• Kasutage regulaaravaldisi: Kasutage regulaaravaldisi kasutaja sisendi valideerimiseks ja puhastamiseks kindlate mustrite alusel.

3. Veakäsitlus ja logimine

Nõuetekohane veakäsitlus ja logimine on turvaaukude tuvastamiseks ja nendega tegelemiseks hädavajalikud.

• Käsitlege vigu sujuvalt: Vältige, et veateated paljastaksid tundlikku teavet teie rakenduse kohta.
• Logige vigu ja turvasündmusi: Logige vigu, turvasündmusi ja kahtlast tegevust, et aidata teil turvaintsidente tuvastada ja neile reageerida.
• Kasutage tsentraliseeritud logimissüsteemi: Kasutage tsentraliseeritud logimissüsteemi, et koguda ja analüüsida logisid mitmest serverist ja rakendusest.
• Jälgige logisid regulaarselt: Jälgige regulaarselt oma logisid kahtlase tegevuse ja turvaaukude suhtes.

4. Turvapäised

Turvapäised pakuvad täiendavat kaitsekihti erinevate rünnakute vastu.

• Sisu turvapoliitika (CSP): Nagu varem mainitud, kontrollib CSP ressursse, mida brauseril on lubatud laadida.
• HTTP Strict Transport Security (HSTS): Sunnib brausereid kasutama HTTPS-i kogu suhtluseks teie veebisaidiga.
• X-Frame-Options: Hoiab ära klikikaaperdamise rünnakud, kontrollides, kas teie veebisaiti saab iframe'is kuvada.
• X-XSS-Protection: Lülitab sisse brauseri sisseehitatud XSS-filtri.
• X-Content-Type-Options: Hoiab ära MIME-nuuskimise rünnakud.
• Referrer-Policy: Kontrollib päringutega saadetava viiteteabe hulka.

Näide (Turvapäiste seadistamine Node.js-is Expressiga):

            const express = require('express');
const helmet = require('helmet');

const app = express();

// Kasutage Helmetit turvapäiste seadistamiseks.
app.use(helmet());

// Kohandage CSP-d (näide).
app.use(helmet.contentSecurityPolicy({
  directives: {
    defaultSrc: ["'self'"],
    scriptSrc: ["'self'", "https://trusted-cdn.example.com"]
  }
}));

app.get('/', (req, res) => {
  res.send('Hello World!');
});

app.listen(3000, () => {
  console.log('Server listening on port 3000');
});

            

              
                Copy
              
            
          

5. Päringute piiramine (Rate Limiting)

Rakendage päringute piiramist, et vältida teenusetõkestamise (DoS) rünnakuid ja toore jõu rünnakuid.

• Piirake päringute arvu: Piirake päringute arvu, mida kasutaja saab teatud aja jooksul teha.
• Kasutage päringute piiramise vahevara: Kasutage päringute piiramise rakendamiseks vahevara nagu express-rate-limit.
• Kohandage päringute piiranguid: Kohandage päringute piiranguid vastavalt päringu tüübile ja kasutaja rollile.

Näide (Päringute piiramine Express Rate Limitiga):

            const express = require('express');
const rateLimit = require('express-rate-limit');

const app = express();

const limiter = rateLimit({
  windowMs: 15 * 60 * 1000, // 15 minutit
  max: 100, // Piira iga IP 100 päringuga akna (windowMs) kohta
  message:
    'Liiga palju päringuid sellelt IP-lt, palun proovige uuesti 15 minuti pärast'
});

// Rakenda päringute piiramise vahevara kõikidele päringutele.
app.use(limiter);

app.get('/', (req, res) => {
  res.send('Hello World!');
});

app.listen(3000, () => {
  console.log('Server listening on port 3000');
});

            

              
                Copy
              
            
          

6. Protsessihaldus ja turvalisus

Nõuetekohane protsessihaldus võib parandada teie Node.js rakenduste turvalisust ja stabiilsust.

• Käivitage mitte-privilegeeritud kasutajana: Käivitage oma Node.js rakendused mitte-privilegeeritud kasutajana, et piirata turvaaukudest tulenevat potentsiaalset kahju.
• Kasutage protsessihaldurit: Kasutage protsessihaldurit nagu PM2 või Nodemon, et rakendus automaatselt taaskäivitada, kui see kokku jookseb, ja jälgida selle jõudlust.
• Piirake ressursside tarbimist: Piirake ressursside (nt mälu, protsessor) hulka, mida teie rakendus saab tarbida, et vältida teenusetõkestamise rünnakuid.

Üldised turvatavad

Need tavad on rakendatavad nii esiotsa kui ka tagaotsa JavaScripti arenduses.

1. Koodi ülevaatus

Viige läbi põhjalikke koodiülevaatusi, et tuvastada potentsiaalseid turvaauke ja kodeerimisvigu. Kaasake ülevaatusprotsessi mitu arendajat.

2. Turvatestimine

Tehke regulaarselt turvateste haavatavuste tuvastamiseks ja nendega tegelemiseks. Kasutage kombinatsiooni manuaalsetest ja automatiseeritud testimistehnikatest.

• Staatilise analüüsi turvatestimine (SAST): Analüüsige lähtekoodi potentsiaalsete haavatavuste tuvastamiseks.
• Dünaamilise analüüsi turvatestimine (DAST): Testige töötavaid rakendusi haavatavuste tuvastamiseks.
• Läbivustestimine: Simuleerige reaalseid rünnakuid, et tuvastada haavatavusi ja hinnata oma rakenduse turvaasendit.
• Hägus testimine (Fuzzing): Sisestage arvutiprogrammi sisendina kehtetuid, ootamatuid või juhuslikke andmeid.

3. Turvateadlikkuse koolitus

Pakkuge kõikidele arendajatele turvateadlikkuse koolitust, et harida neid levinud turvaaukude ja parimate tavade osas. Hoidke koolitus ajakohasena uusimate ohtude ja suundumustega.

4. Intsidentidele reageerimise plaan

Töötage välja intsidentidele reageerimise plaan, et suunata oma tegevust turvaintsidentide korral. Plaan peaks sisaldama protseduure turvaintsidentide tuvastamiseks, piiramiseks, likvideerimiseks ja nendest taastumiseks.

5. Püsige kursis

Püsige kursis uusimate turvaohtude ja haavatavustega. Tellige turvalisuse meililiste, jälgige turvauurijaid ja osalege turvakonverentsidel.

Kokkuvõte

JavaScripti turvalisus on pidev protsess, mis nõuab valvsust ja proaktiivset lähenemist. Nende parimate tavade rakendamise ja uusimate ohtudega kursis olemise kaudu saate oluliselt vähendada turvaaukude riski ning kaitsta oma rakendusi ja kasutajaid. Pidage meeles, et turvalisus on jagatud vastutus ning kõik arendusprotsessis osalejad peaksid olema teadlikud ja pühendunud turvalisuse parimatele tavadele. Need juhised on globaalselt rakendatavad, kohandatavad erinevatele raamistikele ning hädavajalikud turvaliste ja usaldusväärsete JavaScripti rakenduste loomiseks.