Імплементація захисту вебдодатків на node.js: основні загрози та методи безпеки

Іван ОПІРСЬКИЙ; Сергій КОРЕНЬ; Антон ГУНДЕРИЧ

doi:10.17721/ISTS.2025.9.61-73

Автор(и)

Іван ОПІРСЬКИЙ Національний університет «Львівська політехніка» Автор https://orcid.org/0000-0002-8461-8996
Сергій КОРЕНЬ Національний університет «Львівська політехніка» Автор https://orcid.org/0009-0003-9239-136X
Антон ГУНДЕРИЧ Національний університет «Львівська політехніка» Автор https://orcid.org/0009-0005-0207-581X

DOI:

https://doi.org/10.17721/ISTS.2025.9.61-73

Ключові слова:

Node.js, безпека вебзастосунків, SQL-інʼєкції, контроль доступу, обмеження запитів, фільтрація введення, багаторівневий захист, конфіденційність даних, програмна вразливість, кібербезпека

Анотація

Вступ. Інтенсивний розвиток вебтехнологій і зростання популярності вебзастосунків, розроблених на платформі Node.js, відкривають нові можливості для цифрового бізнесу, водночас посилюючи ризики кіберзагроз. Однією з ключових проблем сучасної кібербезпеки є захист таких систем від несанкціонованого доступу, порушення цілісності даних і забезпечення їхньої стабільної роботи. У контексті зростання кількості атак на вебресурси особливої актуальності набувають засоби захисту, які можуть бути інтегровані без значного зниження продуктивності. Застосування багаторівневих механізмів, зокрема і контроль доступу, валідація введення та параметризація запитів до бази даних, формують основу сучасного підходу до безпечного розроблення.
Методи. Проведено систематичний аналіз сучасних методів забезпечення безпеки вебзастосунків, зокрема і в контексті Node.js. Використано методи теоретичного моделювання, порівняльного аналізу, практичного тестування систем захисту й аналізу ефективності різних стратегій. Особливу увагу приділено інтеграції механізмів захисту, таких як обмеження кількості запитів (rate limiting), оброблення параметризованих SQL-запитів, фільтрація користувацького введення та застосування принципу найменших привілеїв. Для кожного з методів оцінено рівень продуктивного навантаження, точність виявлення атак і сумісність з архітектурою Node.js.
Результати. Аналіз показав, що найефективнішим підходом до захисту вебзастосунків є поєднання кількох взаємодоповнювальних стратегій. Наприклад, використання параметризованих запитів суттєво знижує ризик SQL-інʼєкцій, тоді як контроль доступу до критичних ресурсів унеможливлює несанкціоновану модифікацію даних. Доведено, що комбінування rate limiting і фільтрації введення значно підвищує стійкість застосунку до атак типу brute force і script injection. Водночас такі заходи не створюють істотного навантаження на систему, що дозволяє впроваджувати їх у реальних умовах. Визначено оптимальні конфігурації захисних механізмів залежно від рівня загроз і функціональних вимог до вебзастосунку.
Висновки. Захист вебзастосунків, побудованих на Node.js, вимагає системного і комплексного підходу. Комбінування кількох методів захисту дозволяє досягти високого рівня безпеки без зниження ефективності роботи застосунку. Результати дослідження можуть бути використані для побудови інтегрованих систем виявлення та запобігання кіберзагрозам з урахуванням архітектурних особливостей Node.js. Крім технічних аспектів, підкреслено важливість упровадження політик безпеки, що охоплюють як технологічні, так і організаційні компоненти захисту. Системне впровадження таких підходів забезпечить стійкість застосунків навіть в умовах зростання складності кіберзагроз.

Завантажити

Дані для завантаження поки недоступні.

Посилання

Brown, T., & White, K. (2022). The human factor in web application security: Training and auditing requirements. International Journal of Cyber Education, 8(3), 101–118.

Chan, E., & Gupta, M. (2021). Compatibility of combined security solutions: WAF, CDN, and static analysis. In Proceedings of the IEEE Symposium on Security and Privacy (pp. 210–224). IEEE.

Edgescan. (2024). 2023 vulnerability statistics report. https://www.edgescan.com/wp-content/uploads/2024/03/2023-Vulnerability-Statistics-Report.pdf

García, F., & Müller, J. (2022). Empirical analysis of false-positive rates in web application firewalls. ACM Transactions on Privacy and Security, 25(3), Article 11, 1–25.

Halfond, W. G., Viegas, J., & Orso, A. (2006). A classification of SQL-injection attacks and countermeasures. In Proceedings of the International Symposium on Secure Software Engineering (pp. 1045–1051). IEEE.

IBM. (n.d.). X-Force threat intelligence index. https://www.ibm.com/reports/threat-intelligence

Intigriti. (2024). The cyber threat landscape part 4: Emerging technologies and their security implications. https://www.intigriti.com/blog/business-insights/the-cyber-threat-landscape-part-4-emerging-technologies/-and-their-security-implic

Ishaq, K., & Fareed, S. (2023). Mitigation techniques for cyber attacks: A systematic mapping study. arXiv. https://www.researchgate.net/publication/373450471

Jabeen, F., Li, X., & Kim, S. (2025). Cybersecurity threats in FinTech: A systematic review. ScienceDirect. https://www.sciencedirect.com/science/article/abs/pii/S0957417423031998

Martinez, P. J. (2022). Code complexity and integration effort for security middleware in Node.js. International Journal of Software Engineering and Security, 10(1), 45–62.

OWASP. (n.d.). Testing for SQL injection. https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security/_Testing/07-Input_Validation_Testing/02-Testing_for_SQL_Injection

OWASP Cheat Sheet Series. (n.d.). SQL injection prevention cheat sheet. https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_/Prevention_Cheat_Sheet.html

OWASP Foundation. (2025). OWASP Top 10. OWASP. https://owasp.org/www-project-top-ten/

OWASP Foundation. (2023). OWASP Top Ten Project: Coverage analysis report. https://owasp.org

Patel, R., Kumar, S., & Gupta, A. (2023). Maintenance overhead of web security frameworks: An empirical study. Software Quality Journal, 31(4), 1203–1220.

Security vulnerabilities and protective strategies for graphical passwords. (2023). Electronics, 13(15), 3042. https://www.mdpi.com/2079-9292/13/15/3042

Snyk. (2024). 2024 open source security report: Slowing progress and new challenges. https://snyk.io/blog/2024-open-source-security-report-/slowing-progress-and-new-challenges-for/

Snyk. (2025). Preventing SQL injection attacks in Node.js. https://snyk.io/blog/preventing-sql-injection-attacks-node-js/

Wang, X., & Lee, Y. (2022). Performance overhead of parameterized queries in high-load web applications. Journal of Web Security Studies, 14(2), 75–89.

Zhang, L., Chen, Y., Wang, R., & Liu, X. (2023). Security vulnerabilities and protective strategies for graphical passwords. Electronics, 13(15), 3042. https://www.mdpi.com/2079-9292/13/15/3042

Zhang, Y., & Lee, M. (2025). Modern hardware security: A review of attacks and countermeasures. arXiv. https://arxiv.org/abs/2501.04394