Implementation of web application security on node.js: main threats and security methods

ОПІРСЬКИЙ, ІванІванОПІРСЬКИЙКОРЕНЬ, СергійСергійКОРЕНЬГУНДЕРИЧ, АнтонАнтонГУНДЕРИЧ2026-03-172026-03-172025-08-29ОПІРСЬКИЙ, І., КОРЕНЬ, С., ГУНДЕРИЧ, А. (2025). Implementation of web application security on node.js: main threats and security methods. Information systems and technologies security, 1(9), 61–73. https://doi.org/10.17721/ISTS.2025.9.61-7310.17721/ISTS.2025.9.61-73https://ir.library.knu.ua/handle/15071834/12573Background. The intensive development of web technologies and the growing popularity of web applications developed on the Node.js platform open new opportunities for digital business while simultaneously increasing cyber threat risks. One of the key problems of modern cybersecurity is protecting such systems from unauthorized access, data integrity violations, and ensuring their stable operation. In the context of increasing attacks on web resources, security measures that can be integrated without significant performance degradation become particularly relevant. The application of multi-level mechanisms, including access control, input validation, and database query parameterization, forms the foundation of the modern approach to secure development.Methods. This work conducted a systematic analysis of modern methods for ensuring web application security, particularly in the Node.js context. Methods of theoretical modeling, comparative analysis, practical testing of security systems, and effectiveness analysis of various strategies were used. Special attention was paid to the integration of protection mechanisms such as rate limiting, parameterized SQL query processing, user input filtering, and application of the principle of least privilege. For each method, the level of performance load, attack detection accuracy, and compatibility with Node.js architecture were evaluated.Results. The analysis showed that the most effective approach to web application protection is combining several complementary strategies. For example, using parameterized queries significantly reduces the risk of SQL injections, while access control to critical resources prevents unauthorized data modification. It was proven that combining rate limiting and input filtering significantly increases application resistance to brute force and script injection attacks. At the same time, such measures do not create substantial system load, allowing their implementation in real-world conditions. Optimal configurations of protective mechanisms were determined depending on the threat level and functional requirements of the web application.Conclusions. Protecting web applications built on Node.js requires a systematic and comprehensive approach. Combining several protection methods allows achieving a high level of security without reducing application efficiency. The research results can be used to build integrated systems for detecting and preventing cyber threats, taking into account the architectural features of Node.js. Beyond technical aspects, the importance of implementing security policies that encompass both technological and organizational protection components is emphasized. Systematic implementation of such approaches will ensure application resilience even under conditions of increasing cyber threat complexity.Вступ. Інтенсивний розвиток вебтехнологій і зростання популярності вебзастосунків, розроблених на платформі Node.js, відкривають нові можливості для цифрового бізнесу, водночас посилюючи ризики кіберзагроз. Однією з ключових проблем сучасної кібербезпеки є захист таких систем від несанкціонованого доступу, порушення цілісності даних і забезпечення їхньої стабільної роботи. У контексті зростання кількості атак на вебресурси особливої актуальності набувають засоби захисту, які можуть бути інтегровані без значного зниження продуктивності. Застосування багаторівневих механізмів, зокрема і контроль доступу, валідація введення та параметризація запитів до бази даних, формують основу сучасного підходу до безпечного розроблення.Методи. Проведено систематичний аналіз сучасних методів забезпечення безпеки вебзастосунків, зокрема і в контексті Node.js. Використано методи теоретичного моделювання, порівняльного аналізу, практичного тестування систем захисту й аналізу ефективності різних стратегій. Особливу увагу приділено інтеграції механізмів захисту, таких як обмеження кількості запитів (rate limiting), оброблення параметризованих SQL-запитів, фільтрація користувацького введення та застосування принципу найменших привілеїв. Для кожного з методів оцінено рівень продуктивного навантаження, точність виявлення атак і сумісність з архітектурою Node.js.Результати. Аналіз показав, що найефективнішим підходом до захисту вебзастосунків є поєднання кількох взаємодоповнювальних стратегій. Наприклад, використання параметризованих запитів суттєво знижує ризик SQL-інʼєкцій, тоді як контроль доступу до критичних ресурсів унеможливлює несанкціоновану модифікацію даних. Доведено, що комбінування rate limiting і фільтрації введення значно підвищує стійкість застосунку до атак типу brute force і script injection. Водночас такі заходи не створюють істотного навантаження на систему, що дозволяє впроваджувати їх у реальних умовах. Визначено оптимальні конфігурації захисних механізмів залежно від рівня загроз і функціональних вимог до вебзастосунку.Висновки. Захист вебзастосунків, побудованих на Node.js, вимагає системного і комплексного підходу. Комбінування кількох методів захисту дозволяє досягти високого рівня безпеки без зниження ефективності роботи застосунку. Результати дослідження можуть бути використані для побудови інтегрованих систем виявлення та запобігання кіберзагрозам з урахуванням архітектурних особливостей Node.js. Крім технічних аспектів, підкреслено важливість упровадження політик безпеки, що охоплюють як технологічні, так і організаційні компоненти захисту. Системне впровадження таких підходів забезпечить стійкість застосунків навіть в умовах зростання складності кіберзагроз.ukNode.jsweb application securitySQL injectionsaccess controlrate limitinginput filteringmulti-level protectiondata confidentialitysoftware vulnerabilitycybersecurityNode.jsбезпека вебзастосунківSQL-інʼєкціїконтроль доступуобмеження запитівфільтрація введеннябагаторівневий захистконфіденційність данихпрограмна вразливістькібербезпекаImplementation of web application security on node.js: main threats and security methodsІмплементація захисту вебдодатків на node.js: основні загрози та методи безпекиСтаття