Node.js является широко используемым инструментом при разработке веб-приложений и серверных приложений. Но, как и любой другой инструмент, он может содержать уязвимости, которые могут использоваться злоумышленниками для проведения атак на приложение или сервер.

• Код, который может быть выполнен злоумышленником (Remote Code Execution)

• Инъекция ввода пользователя (Injection)

• Слабая аутентификация / авторизация (Weak Authentication / Authorization)

• Нарушение конфиденциальности данных (Data leakage)

• Необработанное исключение (Unhandled exception)

• XSS (Cross-site scripting) и другие атаки на основе браузера.

• Неаккуратное использование операторов и функций

• Нарушение механизмов аутентификации/авторизации

• Отсутствие или недостаточная валидация пользовательского ввода

• Использование устаревших или небезопасных библиотек и пакетов

• Нарушение безопасности сетевых протоколов

• Недостаточный контроль доступа к ресурсам и функциям приложения.

• Использование обновлений приложения и пакетов

• Валидация входных данных

• Использование безопасных функций и библиотек

• Расширенная проверка аутентификации и авторизации

• Тестирование на проникновение и поиск уязвимостей.