Обеспечение безопасности веб-приложений (сайтов, интернет-магазинов, личных кабинетов) и API — не такая простая задача, как может показаться на первый взгляд. Этому есть несколько причин:

• веб-приложения доступны 24/7, и злоумышленник в любой момент может предпринять свою атаку;
• веб-приложения представляют собой стек различных технологий, взаимодействие которых порой сложно осуществить;
• веб-приложения часто бывают самописными и, к несчастью, это не делает их более защищенными;
• веб-приложения изначально разрабатываются для улучшения имиджа компании и получения экономической выгоды, а об их безопасности задумываются далеко не в первую очередь;
• благодаря веб-приложению можно получить различную ценную информацию, начиная от данных пользователей и заканчивая наработками компании-владельца.

Конечно, веб-разработчики стараются не допускать появлению уязвимостей, но в силу причин, описанных ранее, не всегда этого удается избежать, а иногда и исправить с первого раза. Чтобы разобраться с актуальными видами уязвимостей веб-приложений достаточно обратиться к одному из самых авторитетных проектов, посвященных веб-безопасности — OWASP. Помимо прочего, на ресурсе можно найти список наиболее опасных и актуальных уязвимостей веб-приложений под названием OWASP Top Ten:

• А1 — Инъекции;
• А2 — Недостатки аутентификации;
• А3 — Разглашение конфиденциальных данных;
• А4 — Внешние сущности XML (XXE);
• А5 — Недостатки контроля доступа;
• А6 — Некорректная настройка параметров безопасности;
• А7 — Межсайтовое выполнение сценариев (XSS);
• А8 — Небезопасная десериализация;
• А9 — Использование компонентов с известными
  уязвимостями;
• А10 — Недостатки журналирования и мониторинга.

Читать далее (не)Безопасный веб: узнаем об уязвимостях раньше злоумышленника →