Articles of seguridad

ACL que soporta MySQL en Node.js

Estoy usando Node.js con MySQL. ¿Hay una biblioteca de ACL en npm que admita node.js con MySQL? No encontré respuestas a preguntas similares en stackoverflow.

Cifrado de chat y mensajes normales.

Después de leer sobre el cifrado, quiero aplicar la técnica a mi aplicación (nodos + reactjsr). Tengo un mensajero que permite a las personas chatear de persona a persona y crear grupos. Creo que debería haber 2 técnicas diferentes para hacer eso. Utilice claves privadas y públicas para cifrar mensajes persona a persona. Cree una […]

Se encontró una extraña solicitud http en el archivo de registro Node.js Express

Mi primer sitio web público basado en Node.js (con Express) fue público hace un par de semanas. Revisaba rutinariamente el registro del servidor y, a veces, hay algunos registros extraños. Aquí hay unos ejemplos: – – – [Sat, 19 Oct 2013 08:44:38 GMT] “GET http://www.google.com/ HTTP/1.0” 200 3539 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT […]

Uso de JWT con autenticación de Active Directory en el backend de NodeJS

Estoy construyendo una aplicación web de intranet que consiste en un frontend angular y un backend Node.JS. La aplicación necesita utilizar el Active Directory corporativo para la autenticación y autorización. Estoy considerando la mejor manera de implementar esto de una manera segura. Estoy planeando usar el módulo de nodo de Active Directory para comunicarme realmente […]

Node.js cifrado de contraseñas

Actualmente estoy usando lo siguiente para cifrar contraseñas: var pass_shasum = crypto.createHash(‘sha256’).update(req.body.password).digest(‘hex’); ¿Podría por favor sugerir mejoras para hacer el proyecto más seguro?

Enfoques de autorización y patrones de diseño para aplicaciones Node.js

Estoy creando una interfaz de administración de varias páginas para una plataforma de software empresarial interna. Piense en un montón de lógica de pegamento que une varias API, consultas de base de datos y scripts de shell. Usaremos node.js, el marco Express (incluidas las plantillas de jade) y LDAP para la autenticación. Estoy luchando para […]

¿Cuál es la diferencia entre una comparación segura y una simple == (=)

La página webhooks de seguridad de Github dice: No se recomienda utilizar un operador simple == . Un método como secure_compare realiza una comparación de cadena de “tiempo constante”, que lo hace a salvo de ciertos ataques de tiempo contra operadores de igualdad regulares. Utilizo bcrypt.compare(‘string’, ‘computed hash’) al comparar contraseñas. ¿Qué hace que esto […]

¿Cómo conectarse a otra base de datos MongoDB como superusuario utilizando NodeJS?

La solución a este problema funciona bien: En lugar de hacer: $ mongo my_db_name -u superuser -p 1234 hago $ mongo admin -u superuser -p 1234 # connecting as super user to admin db > use anotherDb en concha ¿Cuál es la solución en NodeJS? Intenté conectarme a mongodb://superuser:[email protected]:27017/my_db_name pero recibo este error: { [MongoError: […]

Problemas de seguridad de Socket.io

Me pregunto cómo podría asegurar mi conexión socket.io al servidor de la siguiente. Temas de seguridad: ¿Qué evitaría que los usuarios malintencionados se conecten al servidor de socket a través del código del lado del cliente? Ejemplo: OUTSIDE DOMAIN REQUEST var socket = io.connect(‘http://Mydomain’, {port: 4000}); Aparentemente, los usuarios pueden crear miles de conexiones simultáneas […]

Problemas de seguridad de Node.js Express Framework

Estoy buscando módulos que deberían agregarse a una aplicación Node / Express que aborde los problemas de seguridad generales que se enumeran a continuación: Vulnerabilidades de inyección (JavaScript, SQL, Mongo, HTML) Fijación de sesión y secuestro. Vulnerabilidades entre sitios (secuencias de comandos, falsificación de solicitudes) Asignación de masas inserte la preocupación relevante aquí ¡Gracias por […]