Sicherheit (Vorschlag cn)

Jump to bottom

Christian Noss edited this page Jan 27, 2019 · 1 revision

Sicherheitsziele

Vertraulichkeit
Integrität
Authentizität
Verbindlichkeit

Verschlüsselung

Public / Private Key-Verfahren (RSA) (https://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem) -> Anwendungen SSL / TLS, SSH-Keys

Authentifizierung

JWT / JSON Web Tokens vs. Sessions
Wie speichert man Sessiondaten / Tokens sicher in Cookies?

OWASP (The Open Web Application Security Project)

https://www.researchgate.net/publication/42385691_Developing_a_Secure_Web_Application_Using_OWASP_Guidelines

CORS

Angriffsvektoren

CSRF
XSS
Man-in-the-Middle
(D)DoS
Bruteforce
SQL-Injection
Secrets / Passwörter in Repositorys
...

Präventionsmaßnahmen

Minimalitätsprinzip (Server ist zu „gesprächig" z.B. Errormeldungen, Headerinformationen, …)
Data Validation
SQL Prepared Statements
...

Node.js

NPM als Sicherheitslücke (npm audit)
Helmet
Regular Expression denial of service attacks (https://www.owasp.org/index.php/Regular_expression_Denial_of_Service_-_ReDoS)
HTTP Parameter Pollution
csurf (https://www.npmjs.com/package/csurf)
Password Hashing —> Bcrypt (https://github.com/i0natan/nodebestpractices/blob/security-best-practices-section/sections/security/bcryptpasswords.md)
JSON Schemas zur Input Validierung (https://www.npmjs.com/package/jsonschema)

Hilfstools:

Web Application Firewalls
Web Application Scanner (Penetrationstests)