Pruebas de seguridad automatizadas para aplicaciones JS

Rate this content
Bookmark

Las pruebas de seguridad tradicionales para aplicaciones JS se han centrado en el front-end, pero los problemas de seguridad reales suelen estar en la API REST de respaldo. Únete al cofundador de StackHawk, Scott Gerlach, para obtener una breve descripción de por qué debes replantear cómo pruebas tus aplicaciones JS y cómo StackHawk puede ayudarte a encontrar y solucionar rápidamente errores de seguridad.

9 min
03 Nov, 2022

Comments

Sign in or register to post your comment.

Video Summary and Transcription

En StackHawk, realizamos pruebas de seguridad de aplicaciones, específicamente pruebas de seguridad de aplicaciones dinámicas. Las herramientas DAST heredadas no son efectivas para probar front-ends y APIs de JavaScript. Para lograr una mejor prueba, es esencial conducir la API directamente utilizando estándares de la industria como colecciones de Postman, especificaciones de OpenAPI, GraphQL y consultas de introspección. StackHawk simplifica la búsqueda y solución de problemas de seguridad en aplicaciones, se integra con procesos de CI/CD y proporciona descripciones y ejemplos sencillos. Comienza una prueba gratuita en stackhawk.com para mejorar la calidad del software.

Available in English

1. Introducción a DAST y Escáneres Heredados

Short description:

En StackHawk, realizamos pruebas de seguridad de aplicaciones, específicamente pruebas de seguridad de aplicaciones dinámicas. DAST puede ayudarte a identificar y priorizar en qué enfocar tu tiempo para solucionar problemas. Puede ayudarte a encontrar errores en tu aplicación que sean descubribles y probablemente explotables en tu código en ejecución. Veamos un ejemplo de cómo los escáneres DAST heredados son ineficaces al probar interfaces de JavaScript y APIs.

Hola, Test.js Summit. ¿Cómo están? Soy Scott Gerlach, CSO y cofundador aquí en StackHawk. Gracias por tomarte el tiempo para conocer StackHawk. Espero que estén aprendiendo muchas cosas nuevas en Test.js Summit, y espero poder enseñarles una más.

En StackHawk, realizamos pruebas de seguridad de aplicaciones, específicamente pruebas de seguridad de aplicaciones dinámicas. Hablemos sobre los beneficios de DAST. DAST puede ayudarte a identificar y priorizar en qué enfocar tu tiempo para solucionar problemas, ya que ayuda a identificar lo que es descubrible y probablemente explotable en tu aplicación en ejecución. Si estás abrumado con una avalancha de tareas de auditoría de NPM, es una buena idea abordarlas. Pero a menudo la lista es larga y no todo es una simple actualización de versión. Pero además, ¿cómo sabes si el código que escribiste es seguro? ¿Y en qué deberías invertir tu tiempo si la ruta de actualización en la auditoría de NPM no es sencilla? Esta es la superpotencia de DAST.

DAST puede ayudarte a encontrar errores en tu aplicación que sean descubribles, y probablemente explotables en tu código en ejecución. Puede que estés pensando, pero los frameworks básicamente han evitado que ocurran problemas en las aplicaciones. Y sí, muchos frameworks han hecho un buen trabajo al prevenir problemas como inyecciones de SQL y scripting entre sitios. Pero la mayoría de ellos tienen la versión insegura de eso para ayudarte a hacer cosas complicadas y, desafortunadamente, cometer errores. Pero algunas personas no conocen DAST y aquellos que sí lo conocen pueden haber tenido problemas con DAST.

Veamos un ejemplo. En los viejos tiempos, cuando construíamos aplicaciones en el lado del servidor que ejecutaban la capa de datos y la capa de presentación, todo estaba bien. El escáner DAST heredado podía escanear y probar la aplicación heredada sin muchos problemas. Obtenías buenos resultados, identificabas algunos errores graves de seguridad de la aplicación y todo estaba bien. Pero luego algo cambió. Luego comenzamos a construir interfaces de JavaScript y la interfaz de JavaScript troleaba al escáner DAST heredado y cuando digo troleaba, lo digo en serio. Por ejemplo, ¿cuándo termina el desplazamiento de la página? No termina. ¿Dónde están todos los forms? Depende. El escáner DAST heredado seguía funcionando, estaba feliz, asumiendo completamente que estaba obteniendo toda la información que necesitaba para probar estas nuevas aplicaciones. Los resultados eran terribles. Los escaneos tardaban una eternidad, falsos positivos por días, etc. Y la peor parte, había alguien más en ese asiento trasero también. Nuestras APIs de respaldo están ahí controlando todos los data, hablando con los backends de almacenamiento de datos, ayudando a renderizar elementos en la página y el escáner DAST heredado cree que la interfaz está enviando todas estas solicitudes al backend. ¿Terminamos probando la API aquí? No. ¿Estamos cubriendo la API, toda la API? Probablemente no.

2. DAST y Pruebas de API

Short description:

Las herramientas DAST heredadas no son efectivas cuando se trata de probar interfaces de JavaScript y APIs. Para lograr pruebas y resultados mejores, es esencial conducir la API directamente utilizando estándares de la industria como colecciones de Postman, especificaciones de OpenAPI, GraphQL y consultas de introspección. Probar la interfaz de JavaScript en la configuración de cookies y XSS del DOM también puede revelar posibles errores de seguridad. Las características clave a tener en cuenta en una herramienta de pruebas de aplicaciones dinámicas incluyen la capacidad de ejecutarse en cualquier lugar, proporcionar datos de prueba reales y ejecutar pruebas de seguridad personalizadas. Al enfocarse en estos aspectos, se puede garantizar una prueba de seguridad de aplicaciones más rápida y precisa.

¿Estamos haciendo solicitudes simples a la API? Bueno, la buena interfaz de JavaScript. Depende. Depende del navegador o emulador de navegador que esté utilizando la herramienta DAST heredada y qué tan bien lo esté conduciendo. Qué elementos puede ver, qué puede renderizar. Si has incorporado soporte en tu interfaz de aplicación JavaScript para versiones específicas de navegadores específicos. Ahora puedes pensar en esto como scripts de Selenium. Y en los scripts de Selenium, escribes una prueba específica. Quiero ir a esta página y luego quiero hacer clic en este botón y luego esto debería aparecer, ¿verdad? Ese tipo de prueba de Selenium. DAST es así, excepto que esperas que encuentre todas las posibles rutas de entrada de usuario por sí mismo y haga un buen trabajo. Simplemente no va a suceder. No funciona bien. Entonces, ¿cómo podemos volver a pruebas mejores, mejores resultados, escaneos más rápidos y más precisos, descubriendo estos errores de seguridad de aplicaciones que están integrados en nuestras aplicaciones JavaScript ahora? La clave aquí es conducir la API directamente. Utilizando estándares de la industria como colecciones de Postman, especificaciones de OpenAPI, GraphQL, consultas de introspección, puedes tener acceso directo a la API, comprender lo que hace y los datos que controla y obtener pruebas rápidas y exhaustivas. No importa si estás construyendo una API que no tiene una interfaz en absoluto. Mente explotada. Aún hay cosas buenas que encontrar en la prueba de la interfaz en la configuración de cookies y XSS del DOM. Comenzar protegiendo todos los datos que podrías terminar poniendo en riesgo es un mejor punto de partida. ¿Cuáles son algunas de las claves a tener en cuenta en una herramienta de prueba de aplicaciones dinámicas que te ayudará a probar las API directamente? En primer lugar, que se pueda ejecutar en cualquier lugar. Debe poder ejecutarse en tu CI/CD, debe poder ejecutarse en producción, pero lo más importante, debe poder ejecutarse en tu localhost mientras estás desarrollando. Debe poder proporcionar datos de prueba reales, por lo que en las capturas de pantalla que tenemos aquí, hemos activado la biblioteca Faker para que Faker proporcione datos. En realidad, hemos ingresado datos para algunos valores. Muchas opciones diferentes para poder decir, `oye, API, así es como se ve realmente los datos`. Úsalo también con tus pruebas de seguridad. Ejecuta pruebas personalizadas para el control de acceso roto y el acceso directo inseguro a objetos. Estas son dos de las principales cosas de seguridad de API de OWASP, y son difíciles de probar sin conocimiento sobre cómo funciona la API. A medida que desarrollas la API, puedes escribir cosas como verificaciones de tenencia, ¿puede el cliente A ver los datos del cliente B? Busca cosas como, ¿puede un usuario regular acceder a las funciones de administrador? Esas son algunas de las cosas realmente difíciles de probar. Ahora puedes escribir esa prueba una vez y seguir ejecutándola una y otra vez para asegurarte de que la API permanezca segura. Como dije, debes buscar algo que esté diseñado para escanear aplicaciones modernas, incluidas aplicaciones del lado del servidor, aplicaciones de una sola página, APIs REST, APIs GraphQL y APIs SOAP. Todo esto conduce a una prueba de seguridad de aplicaciones más rápida, un tiempo de corrección más rápido y una vuelta más rápida a tu trabajo regular de generar valor en la aplicación que estás construyendo.

3. Cómo funciona StackHawk

Short description:

StackHawk simplifica el proceso de encontrar y solucionar problemas de seguridad en tus aplicaciones. El escáner y la plataforma proporcionan descripciones y ejemplos simples para ayudarte a comprender e identificar problemas. Puedes recrear problemas utilizando herramientas como comandos curl y depurarlos en tu IDE. StackHawk se integra con los procesos de CI/CD, lo que te permite recibir comentarios y detener las compilaciones según la gravedad de los hallazgos. También puedes ejecutar las mismas pruebas de seguridad de AppSec localmente antes de enviar el código al pipeline. Comienza una prueba gratuita en stackhawk.com para integrar StackHawk en tu proceso de desarrollo y mejorar la calidad del software.

¿Cómo funciona StackHawk? Encontrar y solucionar problemas de seguridad es sencillo con StackHawk. Nuestro enfoque como empresa es ayudar a los desarrolladores a encontrar y, lo que es más importante, solucionar problemas de seguridad. El escáner y la plataforma de StackHawk se basan en este modelo de simplicidad. Cuando se clasifican los hallazgos de StackHawk, la plataforma te proporciona la versión más simple de la información necesaria para ayudarte a comprender rápidamente cuál es el problema, con descripciones simples y ejemplos de patrones para ayudarte a identificar antipatrones.

Puedes recrear el problema con herramientas como simples comandos curl para reproducir el ataque, y luego entrar en modo de depuración en tu IDE y comenzar a revisar el código lo más rápido posible para solucionar esos problemas y volver a tu trabajo regular. Todo esto está habilitado para CI/CD. Nuevamente, puedes integrarlo en tu proceso de CI y, lo que es más importante, recibir comentarios en el proceso de CI y los hallazgos del escaneo. Esta información se puede utilizar para detener una compilación si así lo deseas, según la gravedad de esos hallazgos no clasificados. La mayoría de los principales actores de CI están integrados con StackHawk. La documentación está disponible en docs.stackhawk.com si estás interesado. Si tu versión particular de CI no está en la lista, es muy probable que StackHawk funcione con ella siempre y cuando puedas ejecutar Docker o un proceso de Java.

Aquí está quizás la parte más importante. Como mencioné antes, puedes ejecutar estas mismas pruebas de AppSec localmente que puedes hacer en CI. Por lo tanto, puedes identificar un problema, solucionarlo y validar que lo has solucionado localmente antes de enviar tu código de vuelta al pipeline de CI/CD, cruzar los dedos y esperar que esta vez lo haya logrado. Espero que hayas disfrutado mi charla hoy y tal vez hayas aprendido algo nuevo sobre StackHawk y cómo se puede integrar en tu desarrollo de API y flujo de trabajo de pruebas. Si deseas probar StackHawk y ver cómo puedes integrarlo en tu proceso de desarrollo para seguir empujando los límites en la calidad del desarrollo de software, siempre puedes comenzar una prueba gratuita en stackhawk.com. Gracias por ver y disfruta el resto de TestJS Summit. ♪♪♪

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Remix Conf Europe 2022Remix Conf Europe 2022
23 min
Scaling Up with Remix and Micro Frontends
Top Content
Do you have a large product built by many teams? Are you struggling to release often? Did your frontend turn into a massive unmaintainable monolith? If, like me, you’ve answered yes to any of those questions, this talk is for you! I’ll show you exactly how you can build a micro frontend architecture with Remix to solve those challenges.
Remix Conf Europe 2022Remix Conf Europe 2022
37 min
Full Stack Components
Top Content
Remix is a web framework that gives you the simple mental model of a Multi-Page App (MPA) but the power and capabilities of a Single-Page App (SPA). One of the big challenges of SPAs is network management resulting in a great deal of indirection and buggy code. This is especially noticeable in application state which Remix completely eliminates, but it's also an issue in individual components that communicate with a single-purpose backend endpoint (like a combobox search for example).
In this talk, Kent will demonstrate how Remix enables you to build complex UI components that are connected to a backend in the simplest and most powerful way you've ever seen. Leaving you time to chill with your family or whatever else you do for fun.
JSNation Live 2021JSNation Live 2021
29 min
Making JavaScript on WebAssembly Fast
Top Content
JavaScript in the browser runs many times faster than it did two decades ago. And that happened because the browser vendors spent that time working on intensive performance optimizations in their JavaScript engines.Because of this optimization work, JavaScript is now running in many places besides the browser. But there are still some environments where the JS engines can’t apply those optimizations in the right way to make things fast.We’re working to solve this, beginning a whole new wave of JavaScript optimization work. We’re improving JavaScript performance for entirely different environments, where different rules apply. And this is possible because of WebAssembly. In this talk, I'll explain how this all works and what's coming next.
React Summit 2023React Summit 2023
24 min
Debugging JS
As developers, we spend much of our time debugging apps - often code we didn't even write. Sadly, few developers have ever been taught how to approach debugging - it's something most of us learn through painful experience.  The good news is you _can_ learn how to debug effectively, and there's several key techniques and tools you can use for debugging JS and React apps.

Workshops on related topic

React Day Berlin 2022React Day Berlin 2022
86 min
Using CodeMirror to Build a JavaScript Editor with Linting and AutoComplete
Top Content
WorkshopFree
Using a library might seem easy at first glance, but how do you choose the right library? How do you upgrade an existing one? And how do you wade through the documentation to find what you want?
In this workshop, we’ll discuss all these finer points while going through a general example of building a code editor using CodeMirror in React. All while sharing some of the nuances our team learned about using this library and some problems we encountered.
TestJS Summit - January, 2021TestJS Summit - January, 2021
173 min
Testing Web Applications Using Cypress
WorkshopFree
This workshop will teach you the basics of writing useful end-to-end tests using Cypress Test Runner.
We will cover writing tests, covering every application feature, structuring tests, intercepting network requests, and setting up the backend data.
Anyone who knows JavaScript programming language and has NPM installed would be able to follow along.
GraphQL Galaxy 2021GraphQL Galaxy 2021
48 min
Building GraphQL APIs on top of Ethereum with The Graph
WorkshopFree
The Graph is an indexing protocol for querying networks like Ethereum, IPFS, and other blockchains. Anyone can build and publish open APIs, called subgraphs, making data easily accessible.

In this workshop you’ll learn how to build a subgraph that indexes NFT blockchain data from the Foundation smart contract. We’ll deploy the API, and learn how to perform queries to retrieve data using various types of data access patterns, implementing filters and sorting.

By the end of the workshop, you should understand how to build and deploy performant APIs to The Graph to index data from any smart contract deployed to Ethereum.
Node Congress 2023Node Congress 2023
63 min
0 to Auth in an Hour Using NodeJS SDK
WorkshopFree
Passwordless authentication may seem complex, but it is simple to add it to any app using the right tool.
We will enhance a full-stack JS application (Node.JS backend + React frontend) to authenticate users with OAuth (social login) and One Time Passwords (email), including:- User authentication - Managing user interactions, returning session / refresh JWTs- Session management and validation - Storing the session for subsequent client requests, validating / refreshing sessions
At the end of the workshop, we will also touch on another approach to code authentication using frontend Descope Flows (drag-and-drop workflows), while keeping only session validation in the backend. With this, we will also show how easy it is to enable biometrics and other passwordless authentication methods.
Table of contents- A quick intro to core authentication concepts- Coding- Why passwordless matters
Prerequisites- IDE for your choice- Node 18 or higher
React Summit 2022React Summit 2022
147 min
Hands-on with AG Grid's React Data Grid
WorkshopFree
Get started with AG Grid React Data Grid with a hands-on tutorial from the core team that will take you through the steps of creating your first grid, including how to configure the grid with simple properties and custom components. AG Grid community edition is completely free to use in commercial applications, so you'll learn a powerful tool that you can immediately add to your projects. You'll also discover how to load data into the grid and different ways to add custom rendering to the grid. By the end of the workshop, you will have created an AG Grid React Data Grid and customized with functional React components.- Getting started and installing AG Grid- Configuring sorting, filtering, pagination- Loading data into the grid- The grid API- Using hooks and functional components with AG Grid- Capabilities of the free community edition of AG Grid- Customizing the grid with React Components
React Summit US 2023React Summit US 2023
96 min
Build a powerful DataGrid in few hours with Ag Grid
WorkshopFree
Does your React app need to efficiently display lots (and lots) of data in a grid? Do your users want to be able to search, sort, filter, and edit data? AG Grid is the best JavaScript grid in the world and is packed with features, highly performant, and extensible. In this workshop, you’ll learn how to get started with AG Grid, how we can enable sorting and filtering of data in the grid, cell rendering, and more. You will walk away from this free 3-hour workshop equipped with the knowledge for implementing AG Grid into your React application.
We all know that rolling our own grid solution is not easy, and let's be honest, is not something that we should be working on. We are focused on building a product and driving forward innovation. In this workshop, you'll see just how easy it is to get started with AG Grid.
Prerequisites: Basic React and JavaScript
Workshop level: Beginner