Обеспечение безопасности веб-приложений (сайтов, интернет-магазинов, личных кабинетов) и API — не такая простая задача, как может показаться на первый взгляд. Этому есть несколько причин:
- веб-приложения доступны 24/7, и злоумышленник в любой момент может предпринять свою атаку;
- веб-приложения представляют собой стек различных технологий, взаимодействие которых порой сложно осуществить;
- веб-приложения часто бывают самописными и, к несчастью, это не делает их более защищенными;
- веб-приложения изначально разрабатываются для улучшения имиджа компании и получения экономической выгоды, а об их безопасности задумываются далеко не в первую очередь;
- благодаря веб-приложению можно получить различную ценную информацию, начиная от данных пользователей и заканчивая наработками компании-владельца.
Конечно, веб-разработчики стараются не допускать появлению уязвимостей, но в силу причин, описанных ранее, не всегда этого удается избежать, а иногда и исправить с первого раза. Чтобы разобраться с актуальными видами уязвимостей веб-приложений достаточно обратиться к одному из самых авторитетных проектов, посвященных веб-безопасности — OWASP. Помимо прочего, на ресурсе можно найти список наиболее опасных и актуальных уязвимостей веб-приложений под названием OWASP Top Ten:
- А1 — Инъекции;
- А2 — Недостатки аутентификации;
- А3 — Разглашение конфиденциальных данных;
- А4 — Внешние сущности XML (XXE);
- А5 — Недостатки контроля доступа;
- А6 — Некорректная настройка параметров безопасности;
- А7 — Межсайтовое выполнение сценариев (XSS);
- А8 — Небезопасная десериализация;
- А9 — Использование компонентов с известными
уязвимостями; - А10 — Недостатки журналирования и мониторинга.
Читать далее (не)Безопасный веб: узнаем об уязвимостях раньше злоумышленника