Websockets, socket.io, nodejs et sécurité

Question

Je travaille sur une application d'analyse en temps réel et j'utilise des websockets (via la bibliothèque socket.io) avec nodejs.Il n'y aura pas de données «sensibles» envoyées via les Websockets (comme les noms, adresses, etc.).Il ne sera utilisé que pour suivre les visites et pour suivre le nombre total de visiteurs (ainsi que le nombre de visiteurs sur les 10 URL les plus visitées).

Y a-t-il des problèmes de sécurité dont je devrais être conscient?Suis-je ouvert à:

1. Attaques DoS?
2. Attaques XSS?
3. Des failles de sécurité supplémentaires qui pourraient être utilisées pour accéder au LAN du serveur Web / serveur Web?
4. Y a-t-il autre chose que je n'ai pas mentionné ici?

Merci!

Answer 1

1. DoS attacks?

Vous vous exposez aux attaques DoS et si elles sont effectuées correctement, vous ne pouvez presque rien faire contre ce type d'attaques.

2. XSS attacks?

Si vous ne filtrez pas, vous êtes vulnérable aux attaques XSS.Je pense que vous pouvez vous protéger contre cela en utilisant quelque chose qui ressemble à ceci :

/**
 * Escape the given string of `html`.
 *
 * @param {String} html
 * @return {String}
 * @api private
 */

function escape(html){
  return String(html)
    .replace(/&(?!\w+;)/g, '&')
    .replace(/</g, '&lt;')
    .replace(/>/g, '&gt;')
    .replace(/"/g, '&quot;');
}

3. Additional security holes that could be used to gain access to the
webserver/webserver's LAN?

Vous devez vous protéger contre les attaques LAN en utilisant un pare-feu?

4. Anything else I didn't mention here?

• Si vous envoyez des informations sensibles, vous devez au moins les envoyer via SSL.Vous devriez également proposer une sorte de schéma d'authentification ...
• Peut-être pourriez-vous être vulnérable à la fixation de session?