本文概述
- Snyk
- SourceClear
- Node Security Platform
- Acunetix
- Retire.js
- OWASP依赖性检查
- NodeJsScan
有一些在线工具可用于查找PHP, WordPress, Joomla等中的常见安全漏洞, 并且它们可能无法检测你的应用程序是否基于Node.js构建。
在最新发现中, 超过80%的snyk用户发现其Node.js应用程序易受攻击
由于配置错误, NPM软件包过时等原因, 可能会存在数百个漏洞, 并且以下安全扫描程序应能够帮助你找到安全漏洞。
注意:本文重点介绍发现漏洞和添加安全保护的工具, 以了解如何保护node.js免受在线威胁。
Snyk Snyk检查你的node.js GitHub存储库中的依赖项弱点, 并不断进行修复。你可以使用NPM安装它。使用Snyk有四个主要优点
- 测试弱势依赖
- 获取新漏洞的通知
- 通过必要的升级和补丁减轻风险
- 防止添加更多依赖项
![扫描Node.js应用程序的安全漏洞的7种工具](http://www.srcmini.com/wp-content/uploads/2020/04/snyk-1.png)
文章图片
你可以查看其中一个测试应用程序的扫描结果。
SourceClear 使用SourceClear扫描自动构建的Node.js应用程序, 并在部署到生产环境之前解决问题。 Source Clear可以帮助你构建安全的应用程序, 不仅可以构建Node.js, 还可以支持Python, Ruby和Java项目。
![扫描Node.js应用程序的安全漏洞的7种工具](http://www.srcmini.com/wp-content/uploads/2020/04/sourceclear-registry.png)
文章图片
Source Clear管理大量库和漏洞数据库, 以检测项目中的所有类型的安全风险。使用Source Clear, 你可以灵活地与构建工具集成并自动扫描新提交。
![扫描Node.js应用程序的安全漏洞的7种工具](http://www.srcmini.com/wp-content/uploads/2020/04/source-clear.jpg)
文章图片
你对所使用的库有完整的了解, 并查看它们是否易受攻击。
Node Security Platform Node Security Platform也被称为nsp, 它是监视节点应用程序安全性的最受欢迎的解决方案之一。
你可以在GitHub拉取请求本身中添加检查, 因此不会在生产环境中部署易受攻击的代码。
NSP免费提供开源和第一个私有仓库。
![扫描Node.js应用程序的安全漏洞的7种工具](http://www.srcmini.com/wp-content/uploads/2020/04/nsp-scanner.png)
文章图片
Acunetix Acunetix扫描你的整个网站, 以确定前端和服务器端应用程序中的安全漏洞, 并为你提供可操作的结果。
![扫描Node.js应用程序的安全漏洞的7种工具](http://img.readke.com/220520/0A514J31-4.jpg)
文章图片
Acunetix测试了3000多个漏洞, 其中包括OWASP Top 10, XSS, SQLi等。你可以注册14天试用版, 以查看你的存储桶中是否有漏洞。
Retire.js Retire.js检查你的代码中是否存在已知的公共漏洞, 并告知你是否检测到任何漏洞。Retire.js是命令行扫描程序, 可作为Chrome和Firefox扩展程序使用。
OWASP依赖性检查 与Retire.js相似, OWASP依赖项检查可以确定Node.js, Python和Ruby中是否有任何公开披露的漏洞。
你可以将其用作命令行, ant任务, Maven或Jenkins插件。
此外, 你可以考虑实施头盔以使用必要的HTTP标头保护你的应用程序。默认情况下, 头盔可帮助你应用以下标头。
- DNS预取
- 隐藏X-Powered-By
- HTTP严格传输安全
- 无嗅
- XSS保护
NodeJsScan 静态代码扫描器。 NodeJsScan可以与CI / CD管道集成在一起, 并且可以在docker中使用。它的自托管解决方案带有漂亮的仪表板。
![扫描Node.js应用程序的安全漏洞的7种工具](http://www.srcmini.com/wp-content/uploads/2020/04/nodejsscan.png)
文章图片
你可以将NodeJsScan用作基于Web的CLI或Python API。它扫描远程代码注入, 开放重定向, SQL注入, XSS等。
总结
【扫描Node.js应用程序的安全漏洞的7种工具】上面的工具应该能够帮助你扫描nodejs应用程序中的安全漏洞, 以便你可以保护它们。除了保护核心Node.js应用程序之外, 你还应该考虑使用WAF来保护免受在线威胁和DDoS攻击。
推荐阅读
- 4开源Web应用程序防火墙可提高安全性
- Oracle Openscript - 无法记录在applet /表单上执行的操作
- 用jquery隐藏java applet(可能?)
- ClassNotFoundException - java applet
- Java applet不在AdoptOpenJDK中运行
- 如何在ubuntu 18.04中修复“命令'appletviewer'未找到”[重复]
- 将Applet应用程序迁移到Java 11
- Java applet RuntimeException(java.lang.NoClassDefFoundError:javax / mail / Authenticator)
- 将银行卡添加到Apple Wallet