node.js&express&mongoDB app - bezpieczeństwo . Jakie moduły ?

Question

Jakie dodatkowe moduły, pakiety (bezpieczeństwa) polecilibyście aby przyzwoicie zabezpieczyć aplikacje(node&express&mongoDB) ???

Ze wskazaniem na :

- Brute-force attack

- XSS attacks

- Denial-of-Service (DoS) attack

- nosql injection

Answer 1

Mi jedynie przychodzi na myśl: podejście o tworzenia kodu, w sensie ... już na podstawie projektowania API

- trzymanie się dobrych praktyk poziomu kodu i zapytań

- odpowiedniego hashowania kluczy, metod wymiennych i sposobów na szyfrowanie

- generalnie podejście do projektowania samej BAZY DANYCH żeby odpowiednio ustawiać constraint, zabezpieczenia wartości domyślnych, modyfikacji czy ograniczania swobodnego dostępu

- pomysł na zabezpieczanie projekcji danych przesyłanych czy to w sesji, czy po prostu pomiędzy end-pointami, np korzystać z Value objectów, kosztem nie przesyłania wrażliwych danych o ile nie są konieczne, a ograniczenie się tylko do tych potrzebnych warstwie prezentacji

Filtrowanie routingu ? Może ten temat, dodatkowo problem decyzji : JWT VS COOKIE SESSION NP? no Niestety problem z tokenami jest taki że i tak kończy się na :D tworzeniu "pewnego rodzaju ciasteczek"
I tutaj pytanie czy OUTH - proces autoryzacji nie jest lepszy niz samo JWT< albo coś pokroju połączenia, dodatkowo warto jest przemyśleć, aby odpowiednie endopointy ograniczał się do niewielkich operacji, a nie np z użyciem jednego endpointu, metodą POST robić tzw SIDE EFFECT, funkcje i w ogóle operacje powinny być jak najbardziej to możliwe pure.

Answer 2

1. Brute-force attack
   Jak mam rozumieć to w kontekście usługi?
2. XSS attacks
   XSS dotyczy Cię jeśli renderujesz html itp po stronie serwera.
3. Denial-of-Service (DoS) attack
   CloudFlare, CloudFront
4. Nosql injection
   Odbieraj z frontu określone oraz walidowane struktury danych. Jeśli na żywca nie będziesz wklejać czegoś w query konkatenacją to będzie ok.