Просто чтобы убедиться, что я хорошо выполнил домашние задания, что лучше, чем сопоставить мои результаты с оценкой сообщества, надеюсь, что это поможет другим людям, интересующимся, как защитить свой веб-сайт.
Я создаю сайт с NodeJS и ReactJS на основе платформы Express.Мой стек базы данных - MongoDB и Mongoose.Другими словами, очень распространенный стек для современного веб-приложения.Поэтому я провел несколько исследований, чтобы понять, что нужно предотвратить, чтобы обезопасить мое веб-приложение.
Здесь я обнаружил следующие удовольствия:
- XRF> токены синхронизатора,
- XSS> httpOnly cookie
человек посередине, перехват сеанса> TLS / флаг безопасного cookie
перебор, атака по времени> Bcryptмедленное хеширование времени ядра ЦП
- Радужная таблица> подсчет пароля, что означает помещение случайных данных, которые используются в качестве дополнительного ввода в одностороннюю функцию, которая «хэширует»
Для консолидации мер безопасности, доступных для некоторой контр-проверки на стороне сервера - IP-адрес, местоположение, подобные вещи.
Другие предложения, менее значимые для веб-приложения, но я разместил их здесьчтобы пометить их:
Я забыл другие угрозы, очень важные для обработки, касающиеся моего веб-приложенияSECURity?
Любой намек был бы великолепен, спасибо.