| hpp<\/td> | 0.2.x<\/td> | A05: HTTP Parameter Pollution<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\nSteg 1: Grundkonfiguration med helmet (A02)<\/h2>\n\n\n\nSecurity Misconfiguration kl\u00e4ttrade till andraplatsen i OWASP Top 10:2025. Det inkluderar os\u00e4kra HTTP-headers, \u00f6ppna felmeddelanden och standardkonfigurationer som l\u00e4mnar k\u00e4nslig information exponerad. I Node.js\/Express skickas som standard headers som X-Powered-By: Express<\/code>, vilket ber\u00e4ttar f\u00f6r angripare vilken teknikstack du anv\u00e4nder.<\/p>\n\n\n\nSkapa filen app.js<\/code> och b\u00f6rja med helmet:<\/p>\n\n\n\nrequire('dotenv').config();\nconst express = require('express');\nconst helmet = require('helmet');\nconst app = express();\n\n\/\/ A02: Security Misconfiguration - s\u00e4kra HTTP-headers\napp.use(helmet({\n contentSecurityPolicy: {\n directives: {\n defaultSrc: [\"'self'\"],\n styleSrc: [\"'self'\", \"'unsafe-inline'\"],\n scriptSrc: [\"'self'\"],\n imgSrc: [\"'self'\", 'data:', 'https:'],\n },\n },\n hsts: {\n maxAge: 31536000, \/\/ 1 \u00e5r i sekunder\n includeSubDomains: true,\n preload: true,\n },\n noSniff: true,\n xssFilter: true,\n referrerPolicy: { policy: 'strict-origin-when-cross-origin' },\n}));\n\n\/\/ Ta bort X-Powered-By helt\napp.disable('x-powered-by');\n\napp.use(express.json({ limit: '10kb' }));\napp.use(express.urlencoded({ extended: true, limit: '10kb' }));\n\nmodule.exports = app;<\/code><\/pre>\n\n\n\nHelmet s\u00e4tter \u00e5tta s\u00e4kerhetskritiska headers automatiskt: Content-Security-Policy<\/code>, X-DNS-Prefetch-Control<\/code>, X-Frame-Options<\/code>, X-Content-Type-Options<\/code>, Strict-Transport-Security<\/code>, X-XSS-Protection<\/code>, Referrer-Policy<\/code> och Permissions-Policy<\/code>. Content-Security-Policy (CSP) \u00e4r det viktigaste skyddet mot XSS-attacker och begr\u00e4nsar vilka resurser webbl\u00e4saren f\u00e5r ladda.<\/p>\n\n\n\nBegr\u00e4nsningen av request-storlek till 10 KB skyddar mot “JSON bomb”-attacker d\u00e4r en angripare skickar djupt nestade JSON-strukturer som tar enorma m\u00e4ngder minne att parsa. Express har inget standardgr\u00e4nsv\u00e4rde, vilket \u00e4r ett vanligt konfigurationsmisstag.<\/p>\n\n\n\n Steg 2: Broken Access Control (A01)<\/h2>\n\n\n\nBroken Access Control \u00e4r den vanligaste kategorin i OWASP Top 10:2025 och finns i n\u00e4stan alla testade applikationer. Det inneb\u00e4r att anv\u00e4ndare kan utf\u00f6ra \u00e5tg\u00e4rder eller komma \u00e5t data utanf\u00f6r sina beh\u00f6righeter. Typiska fel \u00e4r att ID-parametrar i URL:er kan manipuleras (Insecure Direct Object Reference, IDOR), att rollkontroller saknas p\u00e5 API-niv\u00e5, eller att k\u00e4nsliga endpoints inte skyddas alls.<\/p>\n\n\n\n Skapa middleware f\u00f6r rolbaserad \u00e5tkomstkontroll i middleware\/auth.js<\/code>:<\/p>\n\n\n\nconst jwt = require('jsonwebtoken');\n\n\/\/ Verifiera JWT-token\nconst authenticate = (req, res, next) => {\n const authHeader = req.headers.authorization;\n if (!authHeader || !authHeader.startsWith('Bearer ')) {\n return res.status(401).json({ error: 'Autentisering kr\u00e4vs' });\n }\n\n const token = authHeader.split(' ')[1];\n try {\n const decoded = jwt.verify(token, process.env.JWT_SECRET);\n req.user = decoded;\n next();\n } catch (err) {\n return res.status(401).json({ error: 'Ogiltig eller utg\u00e5ngen token' });\n }\n};\n\n\/\/ Kontrollera rollbeh\u00f6righeter\nconst authorize = (...roles) => {\n return (req, res, next) => {\n if (!req.user || !roles.includes(req.user.role)) {\n return res.status(403).json({ error: 'Beh\u00f6righet saknas' });\n }\n next();\n };\n};\n\n\/\/ F\u00f6rhindra IDOR: verifiera att anv\u00e4ndaren \u00e4ger resursen\nconst checkResourceOwnership = (getOwnerId) => {\n return async (req, res, next) => {\n try {\n const ownerId = await getOwnerId(req);\n if (String(ownerId) !== String(req.user.id)) {\n return res.status(403).json({ error: '\u00c5tkomst nekad' });\n }\n next();\n } catch (err) {\n next(err);\n }\n };\n};\n\nmodule.exports = { authenticate, authorize, checkResourceOwnership };<\/code><\/pre>\n\n\n\nNyckelprincipen \u00e4r att implementera “deny by default”: alla endpoints kr\u00e4ver autentisering som standard, och specifika roller beviljas explicit. Utan denna princip riskerar du att en ny endpoint publiceras utan skydd. IDOR-skyddet i checkResourceOwnership<\/code> s\u00e4kerst\u00e4ller att en inloggad anv\u00e4ndare inte kan l\u00e4sa eller modifiera en annan anv\u00e4ndares data bara genom att byta ID i URL:en.<\/p>\n\n\n\nInjection \u00e4r OWASP A05:2025 och finns i 100 procent av testade applikationer. Det inkluderar SQL-injektion, NoSQL-injektion, OS-kommandoinjektion och LDAP-injektion. I Node.js-applikationer med MongoDB \u00e4r NoSQL-injektion lika allvarlig som SQL-injektion och missas ofta av utvecklare som tror att “ingen SQL = inget injektionsproblem”.<\/p>\n\n\n\n Skapa valideringsregler i validators\/userValidator.js<\/code>:<\/p>\n\n\n\nconst { body, param, validationResult } = require('express-validator');\nconst mongoSanitize = require('express-mongo-sanitize');\nconst hpp = require('hpp');\n\n\/\/ Middleware: sanitera MongoDB-operatorer och HTTP-parameterf\u00f6rorening\nconst sanitizeInput = [\n mongoSanitize(), \/\/ tar bort $ och . fr\u00e5n req.body, req.query, req.params\n hpp(), \/\/ tar bort duplicerade query-parametrar\n];\n\n\/\/ Valideringsregler f\u00f6r registrering\nconst registerValidation = [\n body('email')\n .isEmail().withMessage('Ogiltig e-postadress')\n .normalizeEmail()\n .isLength({ max: 254 }).withMessage('E-postadress f\u00f6r l\u00e5ng'),\n body('password')\n .isLength({ min: 12, max: 128 }).withMessage('L\u00f6senord: 12\u2013128 tecken')\n .matches(\/^(?=.*[a-z])(?=.*[A-Z])(?=.*\\d)(?=.*[@$!%*?&])\/)\n .withMessage('L\u00f6senord m\u00e5ste inneh\u00e5lla stora\/sm\u00e5 bokst\u00e4ver, siffra och specialtecken'),\n body('username')\n .trim()\n .isAlphanumeric('sv-SE').withMessage('Anv\u00e4ndarnamn: bokst\u00e4ver och siffror')\n .isLength({ min: 3, max: 30 }).withMessage('Anv\u00e4ndarnamn: 3\u201330 tecken')\n .escape(),\n];\n\n\/\/ Hantera valideringsfel\nconst handleValidation = (req, res, next) => {\n const errors = validationResult(req);\n if (!errors.isEmpty()) {\n return res.status(400).json({\n error: 'Valideringsfel',\n details: errors.array().map(e => ({ field: e.path, message: e.msg })),\n });\n }\n next();\n};\n\n\/\/ Blockera farliga tecken i s\u00f6kparametrar\nconst searchValidation = [\n param('query')\n .trim()\n .escape()\n .isLength({ max: 100 }).withMessage('S\u00f6kning f\u00f6r l\u00e5ng'),\n];\n\nmodule.exports = {\n sanitizeInput,\n registerValidation,\n handleValidation,\n searchValidation,\n};<\/code><\/pre>\n\n\n\nExpress-mongo-sanitize tar bort MongoDB-operat\u00f6rer ($<\/code> och .<\/code>) fr\u00e5n indata, vilket f\u00f6rhindrar attacker som {\"$gt\": \"\"}<\/code> i l\u00f6senordsf\u00e4ltet som annars returnerar alla anv\u00e4ndare. HPP (HTTP Parameter Pollution) skyddar mot att en angripare skickar duplicerade parametrar som ?role=user&role=admin<\/code> och d\u00e4rmed kringg\u00e5r rollkontroller.<\/p>\n\n\n\nSteg 4: S\u00e4ker l\u00f6senordshantering och kryptografisk styrka (A04)<\/h2>\n\n\n\nCryptographic Failures (A04:2025) har kartlagts i \u00f6ver 1,6 miljoner f\u00f6rekomster. Det inkluderar svaga hashfunktioner f\u00f6r l\u00f6senord (MD5, SHA-1 utan saltning), os\u00e4ker lagring av k\u00e4nslig data, och d\u00e5lig nyckelhantering. I Node.js \u00e4r det vanligaste misstaget att anv\u00e4nda crypto.createHash('md5')<\/code> f\u00f6r l\u00f6senord eller att lagra k\u00e4nslig data okrypterad i milj\u00f6variabler utan ordentlig nyckelrotation.<\/p>\n\n\n\nconst bcrypt = require('bcrypt');\nconst crypto = require('crypto');\n\nconst SALT_ROUNDS = 12; \/\/ Tar ~250ms, tillr\u00e4ckligt f\u00f6r att f\u00f6rsv\u00e5ra brute force\n\n\/\/ Hasha l\u00f6senord med bcrypt\nconst hashPassword = async (password) => {\n return await bcrypt.hash(password, SALT_ROUNDS);\n};\n\n\/\/ Verifiera l\u00f6senord (constant-time j\u00e4mf\u00f6relse ing\u00e5r i bcrypt)\nconst verifyPassword = async (password, hash) => {\n return await bcrypt.compare(password, hash);\n};\n\n\/\/ Generera kryptografiskt s\u00e4kert token (f\u00f6r l\u00f6senords\u00e5terst\u00e4llning, etc.)\nconst generateSecureToken = (bytes = 32) => {\n return crypto.randomBytes(bytes).toString('hex');\n};\n\n\/\/ Kryptera k\u00e4nslig data med AES-256-GCM\nconst encryptSensitiveData = (plaintext, key) => {\n const iv = crypto.randomBytes(16);\n const cipher = crypto.createCipheriv('aes-256-gcm', Buffer.from(key, 'hex'), iv);\n const encrypted = Buffer.concat([cipher.update(plaintext, 'utf8'), cipher.final()]);\n const authTag = cipher.getAuthTag();\n return {\n iv: iv.toString('hex'),\n encrypted: encrypted.toString('hex'),\n authTag: authTag.toString('hex'),\n };\n};\n\nmodule.exports = { hashPassword, verifyPassword, generateSecureToken, encryptSensitiveData };<\/code><\/pre>\n\n\n\nBcrypt med 12 salt-rundor tar ungef\u00e4r 250 millisekunder per hash p\u00e5 modern h\u00e5rdvara. Det g\u00f6r brute force-attacker praktiskt om\u00f6jliga: en angripare som testar 1 miljon l\u00f6senord per sekund (m\u00f6jligt med GPU:er mot osaltad MD5) klarar bara 4 per sekund mot bcrypt med 12 rundor. AES-256-GCM \u00e4r det rekommenderade l\u00e4get f\u00f6r symmetrisk kryptering: det ger konfidentialitet (kryptering) och integritet (authenticated tag) i ett svep, och varje krypteringsoperation ska anv\u00e4nda ett unikt, slumpm\u00e4ssigt IV.<\/p>\n\n\n\n Steg 5: Rate limiting och brute force-skydd (A07)<\/h2>\n\n\n\nIdentification and Authentication Failures (A07:2025) inkluderar svaga l\u00f6senordspolicyer, saknade skydd mot brute force, os\u00e4ker “gl\u00f6mt l\u00f6senord”-funktionalitet och exponerade sessions-ID:n. Rate limiting \u00e4r den enklaste och mest effektiva mot\u00e5tg\u00e4rden mot automatiserade inloggningsf\u00f6rs\u00f6k och credential stuffing-attacker.<\/p>\n\n\n\n const rateLimit = require('express-rate-limit');\n\n\/\/ Generell rate limit f\u00f6r alla endpoints\nconst generalLimiter = rateLimit({\n windowMs: 15 * 60 * 1000, \/\/ 15 minuter\n max: 100, \/\/ max 100 anrop per f\u00f6nster\n standardHeaders: 'draft-7',\n legacyHeaders: false,\n message: { error: 'F\u00f6r m\u00e5nga anrop, f\u00f6rs\u00f6k igen om 15 minuter' },\n});\n\n\/\/ Strikt limit f\u00f6r autentiseringsendpoints\nconst authLimiter = rateLimit({\n windowMs: 15 * 60 * 1000,\n max: 5, \/\/ max 5 inloggningsf\u00f6rs\u00f6k per 15 minuter\n skipSuccessfulRequests: true,\n standardHeaders: 'draft-7',\n legacyHeaders: false,\n message: { error: 'Kontot tillf\u00e4lligt l\u00e5st, f\u00f6rs\u00f6k igen om 15 minuter' },\n});\n\n\/\/ Limit f\u00f6r l\u00f6senords\u00e5terst\u00e4llning\nconst passwordResetLimiter = rateLimit({\n windowMs: 60 * 60 * 1000, \/\/ 1 timme\n max: 3,\n message: { error: 'Max 3 l\u00f6senords\u00e5terst\u00e4llningar per timme' },\n});\n\nmodule.exports = { generalLimiter, authLimiter, passwordResetLimiter };<\/code><\/pre>\n\n\n\nCredential stuffing-attacker anv\u00e4nder l\u00e4ckta l\u00f6senordsdatabaser (2025 rapporterades 1,8 miljarder stulna inloggningsuppgifter) och pr\u00f6var dem mot din applikation. Med en rate limit p\u00e5 5 f\u00f6rs\u00f6k per 15 minuter tar det en angripare \u00f6ver 3 \u00e5r att testa en lista med 10 000 l\u00f6senord. Utan rate limiting kan en angripare med botnet prova 100 000 kombinationer per minut.<\/p>\n\n\n\n Steg 6: JWT-s\u00e4kerhet och sessions-hantering<\/h2>\n\n\n\nOs\u00e4ker JWT-implementering \u00e4r ett av de vanligaste autentiseringsfelen i Node.js-applikationer. Typiska misstag inkluderar algoritmen none<\/code> som godtas, f\u00f6r l\u00e5nga token-livsl\u00e4ngar, och hemliga nycklar h\u00e5rdkodade i k\u00e4llkoden. Skapa services\/tokenService.js<\/code>:<\/p>\n\n\n\nconst jwt = require('jsonwebtoken');\nconst crypto = require('crypto');\n\nif (!process.env.JWT_SECRET || process.env.JWT_SECRET.length < 32) {\n throw new Error('JWT_SECRET m\u00e5ste vara minst 32 tecken l\u00e5ng');\n}\n\nconst ACCESS_TOKEN_EXPIRY = '15m'; \/\/ kort livsl\u00e4ngd\nconst REFRESH_TOKEN_EXPIRY = '7d';\n\nconst generateTokens = (userId, role) => {\n const accessToken = jwt.sign(\n { id: userId, role, type: 'access' },\n process.env.JWT_SECRET,\n {\n expiresIn: ACCESS_TOKEN_EXPIRY,\n algorithm: 'HS256',\n issuer: 'myapp',\n audience: 'myapp-users',\n }\n );\n\n const refreshToken = jwt.sign(\n { id: userId, type: 'refresh', jti: crypto.randomUUID() },\n process.env.JWT_REFRESH_SECRET,\n { expiresIn: REFRESH_TOKEN_EXPIRY, algorithm: 'HS256' }\n );\n\n return { accessToken, refreshToken };\n};\n\nconst verifyToken = (token, secret) => {\n return jwt.verify(token, secret, {\n algorithms: ['HS256'], \/\/ till\u00e5t aldrig 'none'\n issuer: 'myapp',\n audience: 'myapp-users',\n });\n};\n\nmodule.exports = { generateTokens, verifyToken };<\/code><\/pre>\n\n\n\nAccess tokens s\u00e4tts till 15 minuters livsl\u00e4ngd, vilket begr\u00e4nsar exponeringstiden om ett token komprometteras. Refresh tokens med 7 dagars livsl\u00e4ngd lagras s\u00e4kert i HTTP-only cookies (inte i localStorage som \u00e4r \u00e5tkomligt via JavaScript och XSS-attacker). Algoritmen specificeras explicit som ['HS256']<\/code> i algorithms<\/code>-arrayen, vilket f\u00f6rhindrar “alg: none”-attacker d\u00e4r en angripare skapar ett token utan signatur.<\/p>\n\n\n\nSteg 7: Beroendehantering och supply chain-s\u00e4kerhet (A03 och A06)<\/h2>\n\n\n\nSoftware Supply Chain Failures \u00e4r den nyaste kategorin i OWASP Top 10:2025 och den som 50 procent av s\u00e4kerhetsforskare rankar som det allvarligaste framtidshotet. Kategorin t\u00e4cker komprometterade byggmilj\u00f6er, skadliga npm-paket och os\u00e4kra CI\/CD-pipelines. CVE-2025-6514 i paketet mcp-remote m\u00f6jliggjorde Remote Code Execution via OS-kommandoinjektion i OAuth-handskaken.<\/p>\n\n\n\n Skapa en automatiserad s\u00e4kerhetscheck i package.json<\/code>:<\/p>\n\n\n\n{\n \"scripts\": {\n \"start\": \"node server.js\",\n \"dev\": \"nodemon server.js\",\n \"security:audit\": \"npm audit --audit-level=high\",\n \"security:scan\": \"npx snyk test\",\n \"security:fix\": \"npm audit fix\",\n \"prestart\": \"npm audit --audit-level=critical\"\n },\n \"engines\": {\n \"node\": \">=22.0.0\"\n }\n}<\/code><\/pre>\n\n\n\nL\u00e4gg till en .npmrc<\/code>-fil f\u00f6r att blockera os\u00e4kra installations-scenarios:<\/p>\n\n\n\n# .npmrc\naudit=true\nfund=false\nignore-scripts=false\nsave-exact=true # pinnar exakta versioner, f\u00f6rhindrar ov\u00e4ntade uppgraderingar\npackage-lock=true<\/code><\/pre>\n\n\n\nMed save-exact=true<\/code> sparas exakt version i package.json<\/code> (t.ex. \"helmet\": \"8.0.0\"<\/code>) i st\u00e4llet f\u00f6r \"^8.0.0\"<\/code>. Det f\u00f6rhindrar att en komprometterad patchversion (som vid Polyfill.io-attacken 2024 som drabbade 100 000 webbplatser) installeras automatiskt. L\u00e4gg alltid package-lock.json<\/code> i versionskontroll och verifiera integriteten med npm ci<\/code> i CI\/CD i st\u00e4llet f\u00f6r npm install<\/code>.<\/p>\n\n\n\nSteg 8: S\u00e4ker loggning (A09)<\/h2>\n\n\n\nSecurity Logging and Monitoring Failures (A09:2025) \u00e4r ett underskattat problem. Utan tillr\u00e4cklig loggning kan ett intr\u00e5ng p\u00e5g\u00e5 i m\u00e5nader utan att uppt\u00e4ckas, som vid de flesta stora datal\u00e4ckor. Felet g\u00e5r ocks\u00e5 \u00e5t det andra h\u00e5llet: loggar som inneh\u00e5ller l\u00f6senord, tokens eller personuppgifter i klartext skapar en ny s\u00e5rbarhet.<\/p>\n\n\n\n Skapa en s\u00e4ker logger i utils\/logger.js<\/code>:<\/p>\n\n\n\nconst winston = require('winston');\n\n\/\/ Maskera k\u00e4nslig data i loggar\nconst maskSensitiveData = (obj) => {\n if (!obj || typeof obj !== 'object') return obj;\n const sensitive = ['password', 'token', 'secret', 'authorization', 'cookie', 'creditCard'];\n const masked = { ...obj };\n for (const key of Object.keys(masked)) {\n if (sensitive.some(s => key.toLowerCase().includes(s))) {\n masked[key] = '[MASKERAD]';\n } else if (typeof masked[key] === 'object') {\n masked[key] = maskSensitiveData(masked[key]);\n }\n }\n return masked;\n};\n\nconst logger = winston.createLogger({\n level: process.env.LOG_LEVEL || 'info',\n format: winston.format.combine(\n winston.format.timestamp(),\n winston.format.errors({ stack: true }),\n winston.format.json(),\n ),\n transports: [\n new winston.transports.File({ filename: 'logs\/security.log', level: 'warn' }),\n new winston.transports.File({ filename: 'logs\/combined.log' }),\n ],\n});\n\nif (process.env.NODE_ENV !== 'production') {\n logger.add(new winston.transports.Console({ format: winston.format.simple() }));\n}\n\n\/\/ Logga s\u00e4kerhetsh\u00e4ndelse\nconst logSecurityEvent = (event, req, extra = {}) => {\n logger.warn({\n event,\n ip: req.ip,\n userId: req.user?.id || 'anonym',\n userAgent: req.headers['user-agent'],\n path: req.path,\n method: req.method,\n ...maskSensitiveData(extra),\n });\n};\n\nmodule.exports = { logger, logSecurityEvent };<\/code><\/pre>\n\n\n\nSteg 9: SSRF-skydd (A10)<\/h2>\n\n\n\nServer-Side Request Forgery (SSRF) \u00e4r en kategori p\u00e5 stark uppg\u00e5ng och landade p\u00e5 tiondeplats i OWASP Top 10:2025. En SSRF-s\u00e5rbarhet uppst\u00e5r n\u00e4r applikationen g\u00f6r HTTP-anrop till URL:er kontrollerade av anv\u00e4ndaren, vilket kan ge en angripare tillg\u00e5ng till interna tj\u00e4nster som metadata-tj\u00e4nsten p\u00e5 AWS (169.254.169.254) eller interna databaser.<\/p>\n\n\n\n const dns = require('dns').promises;\nconst net = require('net');\n\n\/\/ Lista blockerade privata IP-intervall\nconst BLOCKED_RANGES = [\n \/^127\\.\/, \/\/ localhost\n \/^10\\.\/, \/\/ privat n\u00e4t\n \/^172\\.(1[6-9]|2\\d|3[01])\\.\/, \/\/ privat n\u00e4t\n \/^192\\.168\\.\/, \/\/ privat n\u00e4t\n \/^169\\.254\\.\/, \/\/ link-local (AWS metadata!)\n \/^::1$\/, \/\/ IPv6 localhost\n \/^fc00:\/, \/\/ IPv6 privat\n \/^fe80:\/, \/\/ IPv6 link-local\n];\n\nconst isPrivateIP = (ip) => BLOCKED_RANGES.some(re => re.test(ip));\n\n\/\/ Validera URL innan externt anrop\nconst validateExternalUrl = async (urlString) => {\n let url;\n try {\n url = new URL(urlString);\n } catch {\n throw new Error('Ogiltig URL');\n }\n\n \/\/ Till\u00e5t bara HTTPS\n if (url.protocol !== 'https:') {\n throw new Error('Endast HTTPS till\u00e5ts');\n }\n\n \/\/ L\u00f6s upp hostname och kontrollera IP\n const addresses = await dns.lookup(url.hostname, { all: true });\n for (const { address } of addresses) {\n if (isPrivateIP(address)) {\n throw new Error('\u00c5tkomst till interna adresser \u00e4r f\u00f6rbjuden');\n }\n }\n\n return url;\n};\n\nmodule.exports = { validateExternalUrl };<\/code><\/pre>\n\n\n\nAWS EC2-metadata-tj\u00e4nsten p\u00e5 169.254.169.254<\/code> \u00e4r det klassiska SSRF-m\u00e5let och kan ge en angripare tillg\u00e5ng till IAM-credentials med full AWS-kontobeh\u00f6righet. Valideringen l\u00f6ser upp DNS-namnet och kontrollerar att den faktiska IP-adressen inte \u00e4r i ett privat intervall, vilket f\u00f6rhindrar DNS-rebinding-attacker d\u00e4r ett publikt dom\u00e4nnamn pekar p\u00e5 en privat IP.<\/p>\n\n\n\nSteg 10: Integritetsskydd (A08)<\/h2>\n\n\n\nSoftware and Data Integrity Failures (A08:2025) inkluderar os\u00e4kra deserialisering, CI\/CD-kompromisser och autoUpgrade utan integritetskontroll. I Node.js \u00e4r det vanligaste felet att anv\u00e4nda eval()<\/code>, new Function()<\/code> eller JSON.parse()<\/code> p\u00e5 op\u00e5litlig indata utan validering.<\/p>\n\n\n\nconst crypto = require('crypto');\n\n\/\/ Generera HMAC-signatur f\u00f6r data (t.ex. webhooks)\nconst signData = (data, secret) => {\n const payload = typeof data === 'object' ? JSON.stringify(data) : String(data);\n return crypto.createHmac('sha256', secret).update(payload).digest('hex');\n};\n\n\/\/ Verifiera webhook-signatur (constant-time j\u00e4mf\u00f6relse)\nconst verifyWebhookSignature = (payload, signature, secret) => {\n const expected = signData(payload, secret);\n const expectedBuf = Buffer.from(expected, 'hex');\n const receivedBuf = Buffer.from(signature, 'hex');\n\n if (expectedBuf.length !== receivedBuf.length) return false;\n return crypto.timingSafeEqual(expectedBuf, receivedBuf);\n};\n\n\/\/ S\u00e4ker JSON-parsning utan prototype pollution\nconst safeJsonParse = (str) => {\n const parsed = JSON.parse(str);\n if (parsed !== null && typeof parsed === 'object') {\n \/\/ F\u00f6rhindra prototype pollution\n if ('__proto__' in parsed || 'constructor' in parsed) {\n throw new Error('Misst\u00e4nkt JSON-struktur');\n }\n }\n return parsed;\n};\n\nmodule.exports = { signData, verifyWebhookSignature, safeJsonParse };<\/code><\/pre>\n\n\n\ncrypto.timingSafeEqual()<\/code> \u00e4r avg\u00f6rande f\u00f6r signaturj\u00e4mf\u00f6relser. En vanlig str\u00e4ngkomparation i JavaScript (a === b<\/code>) avbryts s\u00e5 snart den hittar ett tecken som skiljer sig, vilket g\u00f6r det m\u00f6jligt att m\u00e4ta svarstiden och p\u00e5 s\u00e5 vis gissa fram signaturen bit f\u00f6r bit (timing attack). Den tidss\u00e4kra versionen tar alltid lika l\u00e5ng tid oavsett var skillnaden finns.<\/p>\n\n\n\nSteg 11: CORS och Cookie-s\u00e4kerhet<\/h2>\n\n\n\nFelkonfigurerad CORS \u00e4r ett av de vanligaste s\u00e4kerhetsfelen som faller under A02: Security Misconfiguration. Standardinst\u00e4llningen origin: '*'<\/code> till\u00e5ter varje webbplats att g\u00f6ra autentiserade anrop till din API, vilket kan kombineras med XSS f\u00f6r att stj\u00e4la data. Cookies utan r\u00e4tt flaggor \u00e4r l\u00e4sbara via JavaScript och kan f\u00f6ras vidare via HTTP.<\/p>\n\n\n\nconst cors = require('cors');\nconst cookieParser = require('cookie-parser');\n\n\/\/ CORS: till\u00e5t bara definierade ursprung\nconst corsOptions = {\n origin: (origin, callback) => {\n const allowed = (process.env.ALLOWED_ORIGINS || '').split(',');\n if (!origin || allowed.includes(origin)) {\n callback(null, true);\n } else {\n callback(new Error(`CORS blockerat f\u00f6r ursprung: ${origin}`));\n }\n },\n credentials: true, \/\/ till\u00e5t cookies med cross-origin-anrop\n methods: ['GET', 'POST', 'PUT', 'DELETE'],\n allowedHeaders: ['Content-Type', 'Authorization'],\n maxAge: 86400, \/\/ cache preflight 24 timmar\n};\n\napp.use(cors(corsOptions));\napp.use(cookieParser(process.env.COOKIE_SECRET));\n\n\/\/ S\u00e4ker cookie f\u00f6r refresh token\nconst setRefreshTokenCookie = (res, token) => {\n res.cookie('refreshToken', token, {\n httpOnly: true, \/\/ ej \u00e5tkomlig via JavaScript\n secure: true, \/\/ bara \u00f6ver HTTPS\n sameSite: 'strict', \/\/ blockerar CSRF\n maxAge: 7 * 24 * 60 * 60 * 1000, \/\/ 7 dagar\n signed: true, \/\/ HMAC-signerad med COOKIE_SECRET\n path: '\/api\/auth', \/\/ begr\u00e4nsad s\u00f6kv\u00e4g\n });\n};<\/code><\/pre>\n\n\n\nSteg 12: Komplett applikation och felhantering<\/h2>\n\n\n\nSamla allt i en komplett server.js<\/code> med s\u00e4ker felhantering. Felmeddelanden mot klienten ska aldrig exponera stack traces, databasfel eller interna tekniska detaljer som en angripare kan anv\u00e4nda f\u00f6r rekognosering.<\/p>\n\n\n\nrequire('dotenv').config();\nconst app = require('.\/app');\nconst { generalLimiter } = require('.\/middleware\/rateLimiter');\nconst { logger } = require('.\/utils\/logger');\nconst authRoutes = require('.\/routes\/auth');\nconst userRoutes = require('.\/routes\/users');\nconst { sanitizeInput } = require('.\/validators\/userValidator');\n\nconst PORT = process.env.PORT || 3000;\n\n\/\/ Global sanitering\napp.use(sanitizeInput);\n\n\/\/ Rate limiting p\u00e5 alla routes\napp.use('\/api\/', generalLimiter);\n\n\/\/ Routes\napp.use('\/api\/auth', authRoutes);\napp.use('\/api\/users', userRoutes);\n\n\/\/ 404-hantering (avsl\u00f6ja inte teknisk info)\napp.use((req, res) => {\n res.status(404).json({ error: 'Resursen hittades inte' });\n});\n\n\/\/ Global felhantering\napp.use((err, req, res, next) => {\n logger.error({\n message: err.message,\n stack: err.stack,\n path: req.path,\n method: req.method,\n ip: req.ip,\n });\n\n \/\/ Skicka aldrig intern felinformation till klienten\n if (process.env.NODE_ENV === 'production') {\n res.status(err.status || 500).json({ error: 'Internt serverfel' });\n } else {\n res.status(err.status || 500).json({\n error: err.message,\n stack: err.stack,\n });\n }\n});\n\napp.listen(PORT, () => {\n logger.info(`Server startad p\u00e5 port ${PORT} i ${process.env.NODE_ENV}-l\u00e4ge`);\n});<\/code><\/pre>\n\n\n\nSkapa filen .env<\/code> med alla hemliga v\u00e4rden. L\u00e4gg till .env<\/code> i din .gitignore<\/code> direkt:<\/p>\n\n\n\n# .env (l\u00e4gg till .env i .gitignore!)\nNODE_ENV=development\nPORT=3000\nJWT_SECRET=minst-32-tecken-langt-slumpmassigt-hemligt-varde\nJWT_REFRESH_SECRET=ett-annat-minst-32-tecken-langt-varde\nCOOKIE_SECRET=cookie-signing-hemligt-varde-minst-32-tecken\nALLOWED_ORIGINS=http:\/\/localhost:3001,https:\/\/din-app.se\nLOG_LEVEL=info<\/code><\/pre>\n\n\n\nVerifiering: k\u00f6ra applikationen<\/h2>\n\n\n\nStarta utvecklingsservern och verifiera att s\u00e4kerhetsheaders \u00e4r p\u00e5 plats:<\/p>\n\n\n\n npm run dev\n\n# I ett annat terminalf\u00f6nster, kontrollera headers:\ncurl -I http:\/\/localhost:3000\/api\/auth\/login\n\n# F\u00f6rv\u00e4ntad output:\nHTTP\/1.1 404 Not Found\nContent-Security-Policy: default-src 'self';...\nStrict-Transport-Security: max-age=31536000; includeSubDomains; preload\nX-Content-Type-Options: nosniff\nX-Frame-Options: SAMEORIGIN\nReferrer-Policy: strict-origin-when-cross-origin<\/code><\/pre>\n\n\n\nVerifiera att rate limiting fungerar:<\/p>\n\n\n\n # Prova 6 inloggningsf\u00f6rs\u00f6k (ska blockeras vid det 6:e)\nfor i in {1..6}; do\n curl -s -o \/dev\/null -w \"F\u00f6rs\u00f6k $i: %{http_code}\\n\" \\\n -X POST http:\/\/localhost:3000\/api\/auth\/login \\\n -H \"Content-Type: application\/json\" \\\n -d '{\"email\":\"test@test.se\",\"password\":\"fel\"}'\ndone\n\n# F\u00f6rv\u00e4ntad output:\nF\u00f6rs\u00f6k 1: 401\nF\u00f6rs\u00f6k 2: 401\nF\u00f6rs\u00f6k 3: 401\nF\u00f6rs\u00f6k 4: 401\nF\u00f6rs\u00f6k 5: 401\nF\u00f6rs\u00f6k 6: 429 (Too Many Requests)<\/code><\/pre>\n\n\n\n5 vanliga fallgropar och hur du undviker dem<\/h2>\n\n\n\nDessa misstag dyker upp g\u00e5ng p\u00e5 g\u00e5ng i s\u00e4kerhetsgranskningar av Node.js-applikationer:<\/p>\n\n\n\n Fallgrop 1: H\u00e5rdkodade hemligheter.<\/strong> Att l\u00e4gga JWT-nycklar eller databas-l\u00f6senord direkt i k\u00e4llkoden \u00e4r det vanligaste kritiska misstaget. Anv\u00e4nd alltid milj\u00f6variabler och ladda dem med dotenv. K\u00f6r git log --all --full-history -- \"**\/.env\"<\/code> f\u00f6r att kontrollera att inga .env-filer l\u00e4ckt in i git-historiken.<\/p>\n\n\n\nFallgrop 2: Felaktig Content-Security-Policy.<\/strong> Att s\u00e4tta helmet()<\/code> utan konfiguration ger en standardpolicy som kan vara f\u00f6r restriktiv (bryta befintliga funktioner) eller f\u00f6r till\u00e5tlig. Testa CSP med report-only<\/code>-l\u00e4get innan du enforcar det: Content-Security-Policy-Report-Only<\/code>.<\/p>\n\n\n\nFallgrop 3: Gl\u00f6md s\u00f6kv\u00e4gstraversering.<\/strong> Att servera filer med express.static()<\/code> eller fs.readFile()<\/code> baserat p\u00e5 anv\u00e4ndarinput utan validering \u00f6ppnar f\u00f6r path traversal-attacker (..\/..\/..\/etc\/passwd<\/code>). Anv\u00e4nd alltid path.resolve()<\/code> och kontrollera att den l\u00f6sta s\u00f6kv\u00e4gen b\u00f6rjar med din tillt\u00e4nkta baskatalog.<\/p>\n\n\n\nFallgrop 4: RegEx Denial of Service (ReDoS).<\/strong> Komplexa regulj\u00e4ra uttryck mot user-kontrollerad indata kan ta exponentiell tid att exekvera (catastrophic backtracking) och krascha servern. Undvik kapslade kvantifierare ((a+)+<\/code>) och anv\u00e4nd paketet safe-regex<\/code> f\u00f6r att validera dina regulj\u00e4ra uttryck.<\/p>\n\n\n\nFallgrop 5: Express body-parser utan storleksgr\u00e4ns.<\/strong> Utan limit: '10kb'<\/code> i express.json()<\/code> kan en angripare skicka ett JSON-objekt p\u00e5 100 MB och krascha servern via minnes\u00f6verskott. S\u00e4tt alltid en explicit gr\u00e4ns.<\/p>\n\n\n\nFallgrop 6: Felaktig HTTP-metod-hantering.<\/strong> Express svarar p\u00e5 alla HTTP-metoder om ingen begr\u00e4nsning s\u00e4tts. En angripare kan skicka TRACE-anrop f\u00f6r att se server-intern information eller OPTIONS-anrop f\u00f6r att mappa vilka endpoints som finns. Blockera o\u00f6nskade metoder explicit.<\/p>\n\n\n\nFallgrop 7: Exponerade felmeddelanden i produktion.<\/strong> Stack traces i JSON-felresponser avsl\u00f6jar teknisk infrastruktur (Node-version, biblioteksnamn, fils\u00f6kv\u00e4gar) som en angripare anv\u00e4nder f\u00f6r att hitta k\u00e4nda CVE:er. Skilj alltid p\u00e5 development- och production-felhantering.<\/p>\n\n\n\nFallgrop 8: Okrypterade sessionsdata i cookies.<\/strong> Att lagra k\u00e4nslig data direkt i cookies utan kryptering eller signering g\u00f6r att en anv\u00e4ndare kan modifiera sina egna sessionsdata (inklusive roller). Anv\u00e4nd alltid signed: true<\/code> med COOKIE_SECRET<\/code> och lagra bara session-ID i cookies, inte faktisk sessionsdata.<\/p>\n\n\n\n
|