Encuentre la vulnerabilidad de seguridad de Node.js y protéjala corrigiéndola antes que alguien corte tu solicitud.
Hay algunas herramientas en línea para encontrar la vulnerabilidad de seguridad común en PHP, WordPress, Joomla, etc. y es posible que no puedan detectar si su aplicación está construida en Node.js.
En el último hallazgo, más de 80% de los usuarios de Snyk encontraron vulnerable su aplicación Node.js
Podría haber cientos de vulnerabilidades debido a una configuración incorrecta, paquetes NPM desactualizados, etc. y el siguiente escáner de seguridad debería poder ayudarlo a encontrar las lagunas de seguridad.
Nota:: este artículo se centra en herramientas para encontrar una vulnerabilidad y para agregar protección de seguridad, consulte cómo proteger node.js de las amenazas en línea.
Snyk
snyk comprueba su repositorio de GitHub de node.js para las debilidades en las dependencias y las corrige continuamente. Puede instalar esto usando NPM. Hay cuatro ventajas principales de usar Snyk
- Prueba de dependencias vulnerables
- Reciba notificaciones de nuevas vulnerabilidades
- Mitigue el riesgo mediante las actualizaciones y los parches necesarios
- Evitar agregar más dependencias
Puede usar Snyk de forma gratuita en el repositorio público de GitHub de la aplicación Node.js. Junto con su aplicación, también puede realizar una prueba en paquetes públicos de NPM como express, ionic, etc.

Puede tomar un mira los resultados del escaneo de una de las aplicaciones de prueba.
Source Clear
Escanee las compilaciones de su aplicación Node.js automáticamente con SourceClear y solucione los problemas antes de implementarlo en producción. Source Clear te ayuda a crear una aplicación segura y no solo Node.js, sino que también admite proyectos de Python, Ruby y Java.

Source Clear gestiona una gran cantidad de bibliotecas y bases de datos de vulnerabilidades para detectar todos los tipos de riesgos de seguridad en su proyecto. Con Source Clear, tiene la flexibilidad de integrarse con herramientas de compilación y escanear automáticamente nuevas confirmaciones.

Tienes la idea completa de las bibliotecas utilizadas y comprueba si son vulnerables.
Acunetix
Acunetix escanea todo su sitio web en busca de vulnerabilidades de seguridad en aplicaciones del lado del servidor y del front-end y le brinda resultados procesables.

La prueba de Acunetix para más de 3000 vulnerabilidades incluye OWASP top 10, XSS, SQLi, etc. Puede registrarse para una prueba de 14 días para ver si hay un agujero en su cubo.
Retire.js
Retire.js Verifique su código para detectar vulnerabilidades públicas conocidas y le informará si se detecta alguna. Retire.js es un escáner de línea de comandos y está disponible como extensión de Chrome y Firefox.
OWASP Dependency Check
Similar a Retire.js, Verificación de dependencia de OWASP identifica si existen vulnerabilidades divulgadas públicamente en Node.js, Python y Ruby.
Puede usar esto como una línea de comando, tarea de hormiga, Maven o complemento de Jenkins.
Adicionalmente, puede considerar implementar casco para proteger sus aplicaciones con los Encabezados HTTP. De forma predeterminada, el casco le ayuda a aplicar los siguientes encabezados.
- Prefetch de DNS
- Ocultar X-Powered-By
- Seguridad de transporte estricta de HTTP
- No oler
- Protecciones XSS
Una vez implementado, puede usar herramientas en línea para verificar los encabezados HTTP.
NodeJsScan
Un escáner de código estático. NodoJsScan se puede integrar con canalizaciones CI / CD y está preparado para Docker. Su solución autohospedada con un hermoso panel de control.

Puede utilizar NodeJsScan como API basada en web, CLI o Python. Escanea en busca de inyección de código remoto, redireccionamiento abierto, inyección SQL, XSS, etc.
Conclusión
Las herramientas anteriores deberían poder ayudarlo a escanear su aplicación node.js en busca de una vulnerabilidad de seguridad para que pueda asegurarlos. Además de proteger las aplicaciones principales de Node.js, también debería considerar el uso de WAF para proteger de amenazas en línea y ataques DDoS.