[ ] Limiter l'accès aux méthodes exposées par le serveur (en fonction de l'authentification, du rôle ou des droits de propriété)
Dépendances :
[ ] Mettre à jour régulièrement les dépendances (npm install …@latest)
Chiffrage :
[x] Rediriger les requêtes HTTP vers HTTPS (fait automatiquement par Caddy)
Authentification :
[x] Saler et hacher les mots de passe (fait par bcrypt)
[x] Utiliser des identifiants de session de 128 bits (16 octets) aléatoires (généré par crypto)
[ ] Supprimer la session en base de données lors de la déconnexion de l'utilisateur
Injections de code :
[x] Utiliser des requêtes préparées (ou ORM) pour éviter les injections SQL (fait par TypeORM)
[x] Échapper les scripts lors du rendu dans le navigateur pour éviter les injections XSS (données soumises par un utilisateur dans un formulaire par exemple) (fait automatiquement par React)
Référence : https://owasp.org/Top10/fr/
Application :
Dépendances :
npm install …@latest
)Chiffrage :
Authentification :
bcrypt
)crypto
)Injections de code :
Serveur :