8个用于扫描Node.js应用程序安全漏洞的工具

作者姚伟斌

查找 node.js 安全漏洞并在被黑客攻击之前修复它们,以保护应用程序。

有一些在线工具可以帮助您查找 php、wordpress、joomla 等常见的 安全漏洞,但事情并不简单!它们可能无法检测出您的应用程序是否是基于 node.js 构建的。

最近的研究发现超过 80% 的用户发现他们的 node.js 应用程序存在漏洞。

这些漏洞可能有数百种类型,原因是配置错误、过时的 npm 软件包等等。下面的安全扫描工具应该能够帮助您找到安全漏洞。

本文介绍了如何查找 node.js 安全漏洞并在被黑客攻击之前保护它们。

我还想强调 ,本文侧重于找到漏洞的工具。我建议查看“如何从在线威胁中 保护 node.js”以配置安全保护。

snyk

snyk 是一个方便的选项,用于查找容器、代码依赖和基础设施的漏洞。无论是开发工具、自动化流水线还是工作流程,snyk 都可以直接集成!

在最新更新中,snyk 已包含 spdx v3.20。详细程度将得到改善,但许可证检测的数量应保持不变。此外,它支持 npm 的 lockfile v3 项目。

不要以为这是结局!它还有一些其他优势,包括:

  • 使用 snyk,您将通过获取新漏洞的通知保持警惕。
  • 它将帮助您防止添加更多依赖项。

有趣的事实是,如果您将 node.js 应用程序部署在容器中,可能还会添加不安全的软件包。snyk 容器 cli 可以帮助您识别减少应用程序攻击面的基础镜像。

nodejsscan

从技术角度来说,nodejsscan 是一个专门为 node.js 开发的静态安全代码扫描器(sast)。它基于的语言是 python。这个工具受到 libsast 的支持,这是一个通用的用于安全工程师的 sast,以及 semgrep,一个用于查找第三方依赖项中的漏洞的开源和最快的静态分析引擎。

要运行 nodejsscan,您需要执行命令 ./run.sh。这个命令将帮助您在 http://127.0.0.1:9090 上运行 nodejsscan 的 web 用户界面。

关于它的集成,您可以创建 slack 或电子邮件提醒,以获得有关漏洞的通知。

总的来说,它可以发现漏洞并使您的应用程序更安全。这取决于您明智选择的工具,它可以帮助您解决安全漏洞。我建议 node js scan 是一个可行的选择。

auditjs

如果您正在寻找一个完美的漏洞发现器,请开始对 auditjs 建立信任。 auditjs 具有用于识别已知漏洞的 oss index v3 rest api 长剑。它还可以定位过时的软件包版本。

auditjs 支持 npm、angular、yarn 和 bower 包管理器,用于在 node_modules 文件夹中安装依赖项的项目。

安装过程有几种方式,比如通过npx进行,它提供了最不永久的安装方式,命令是“npx auditjs@latest ossi”,或者您可以选择全局安装,提供了最永久的安装方式,命令是“npm install -g auditjs”。

在我的评论中,我建议通过npx安装。在node.js社区中,通常不鼓励全局安装。

detectify

detectify是另一个用于查找web应用程序漏洞的工具。它最近在市场上赢得了声誉,并成为一个可靠的选择。它提供持续扫描,以测试您的应用程序是否存在最新漏洞。它还支持计划扫描,以便与您的方便并行进行。

我猜您可能会觉得这有点不同寻常;您可以使用可自定义参数创建与您日常使用的工具的关联,并将关键安全发现发送给它们。

最后,我还想强调另一个它提供的功能:无论其资产如何,它都可以提供所有漏洞的完整概览。

megalinter

megalinter被认为是避免技术债务最有效的工具之一,它帮助我们提供干净和高效的代码,使用户在工作流程中节省时间。

megalinter帮助我们遵循代码审核的最佳实践,因为该工具允许开发人员在每个拉取请求上自动更新和分析代码。它主要帮助优化代码审核过程,使用户能够节省大量时间。

然而,就错误日志的验证而言,megalinter帮助开发人员实践一些最佳技术,因此他们可以有效地执行重要的代码错误而无需失败。

除了所有这些重要因素之外,该工具还提供了一系列ide插件,可帮助开发人员安装所需的插件以高效执行各种任务。

除了所有这些多个方面之外,这个工具的一个重要特点是它完全开源,并且对每个开发者都是免费的。

该工具是独立的,不需要任何外部应用程序;它在任何ci工具上都可以高效地工作,我们也可以在本地系统上使用它。然而,该工具与每种编程语言兼容。

因此,任何开发者都可以轻松切换到megalinter以维护一个干净和无错误的编码环境。下面我们介绍如何使用该工具的详细视频描述:

retirejs

建立信任的工具有很多,下一个就是:retirejs。开发人员应该明白,简化开发是令人赞赏的,但您必须及时了解安全补丁。

retirejs团队对帮助用户检测已知漏洞有着清晰的理解和愿景。retirejs基于javascript、typscript和shell。您可以以各种方式使用retirejs,

  • 作为cls(命令行扫描器)
  • 作为gp(grunt插件)
  • 作为gt(gulp任务)
  • 作为web浏览器扩展

浏览器扩展在retirejs的用法流程列表中被提及!这里需要强调的是,这些扩展会扫描不安全的库,并在开发者面板上发出警告。这些小功能与其他几个功能结合起来,使retirejs成为查找node.js应用程序中漏洞的最佳选择。

eslint-plugin-security

列表中的下一个是eslint-plugin-security。它专门用于node安全。这个工具将帮助您轻松找到和识别漏洞。安装过程给出了两个选项:npm或yarn!

npm install –save-dev eslint-plugin-security

yarn add –dev eslint-plugin-security

在我的使用过程中,我发现了一些人工干预可以绕过的虚假潜在威胁。在所有必要的检查后,eslint-plugin-security因其对node.js的专门性而占据了一个特定的位置。

node-secure cli

node-secure cli工具是node.js漏洞的可靠选择。该团队开发了一个cli/api,可以彻底分析给定本地package.json或npm包的依赖树,并追踪存储库中的漏洞。

在使用过程中,您可能会发现ui中的节点是红色的。但是,我建议不要担心。只有当包被标记为haswarningshasminifiedcode时才会发生这种情况

node-secure cli提供了许多功能,其中一些已列在下面:

  • ast分析 – 您可以在软件包中的每个.js/.mjs文件上运行它。
  • 完整分析 – 它将为每个软件包提供整体组成。
  • 强大的覆盖范围 – 此工具允许您分析npm包和本地node.js项目。

从这个工具的整体外观和感觉来看,我相信,借助其跟踪和分析漏洞的能力,开发人员可以主动识别和解决潜在的漏洞。

结论

上述工具应该帮助扫描您的node.js应用程序以寻找安全漏洞,以便您可以保护它们。除了保护核心node.js应用程序外,您还应考虑使用waf来防止在线威胁和ddos攻击。

姚伟斌

程序猿

我是姚伟斌,也被称为文景。我的专业领域涵盖了开放源代码的深度探索、网络编程和网络建站。我热衷于分享我的编程和建站实践经验,尤其擅长于Nginx和Proxy服务器的管理。此外,我还对Python和NodeJS这两种编程语言有着深刻的理解和独到的见解。

最近,我致力于爬虫技术的研究,探索如何通过高效的数据抓取为项目增添价值。我的目标是通过持续的学习和创新,为开放源代码社区贡献我的力量,并帮助那些对网络编程和网站建设感兴趣的人士。

类似文章