Buenas, dejando por una vez la VoIP a un lado, hoy toca hablar de
seguridad en Node (
Node.js® /
io.js). Con el implacable
crecimiento de JavaScript en el lado del servidor cada vez es mayor el número de servicios que aprovechan
las ventajas de este entorno. Especialmente los relacionados con la web (ej:
Express,
Hapi, etc), que además
se están utilizando con éxito en producción atendiendo a millones de usuarios cada día.
A lo que vamos, en mi trabajo como programador, cuando tenía que
securizar una aplicación de este tipo tocaba tirar de diapositivas de
algunas conferencias, diversos posts, etc. Por este motivo empecé a
pensar que era el momento de
revisar como aplicarían las
vulnerabilidades más comunes de la web en este entorno.
En una primera investigación rápida para ver si existía algún proyecto relacionado al que poder contribuir me encontré con
NodeGoat, una aplicación vulnerable que implementa el
OWASP Top 10.
El problema era que estaba sin actualizar, por lo que utilizaba una
versión antigua de Express, perdiendo demasiadas mejoras introducidas
con el tiempo. Por este mismo motivo fallaba la instalación de las
mismas y era imposible ponerla en marcha. Así que me puse manos a la
obra, tras una
re-escritura de distintas partes y de que
@ckarande (el autor) aceptase los cambios todo en orden otra vez.
Simplemente tenéis que seguir los pasos del
README para jugar con ella, incluso podéis desplegar de forma gratuita vuestra propia copia en
Heroku con un par de clicks.