Защитим своё веб-приложение
Защитим своё веб-приложение
Все мы сталкиваемся с противоправными действиями и просторы всемирной паутины не стали исключением. Сейчас самой распространенной угрозой стали атаки на клиентов веб-приложений. Их проводят не напрямую, а через таких же пользователей, как и вы, например это может быть и администратор форума.
Наиболее часто встречаемая уязвимость связана с межсайтовым скриптингом (XSS). Она появляется в тех случаях, когда принимаемые от сторонних пользователей данные не пройдя фильтрации, выводятся в браузер. При этом может быть изменена сама HTML отображаемая у данного пользователя страница подвергшегося изменению сайта. Также крадутся COOKIE хранимые браузером пользователя и дальнейшее их использование для входа в сессию с его паролями и учетной записью.
Также есть и более сложная уязвимость XSS proxy. С её помощью злоумышленник не только контролирует поврежденный сайт, но и может выполнять над ним любые действия как администратор, под его учетной записью и даже с его IP адресом.
Для того чтобы противодействовать такой атаке используйте htmlspecialchars. Используйте двойные кавычки для динамических значений параметров тэгов. При использовании тэгов href или src в качестве параметров по возможности используйте протокол http.
Не менее редко встречается и CSRF уязвимость. При ней происходит принудительный запрос пользователя к серверу подвергшемуся уязвимости. В этом случае браузер будет проводить обращение с существующими COOKIE. Для такого принуждения можно использовать даже простое добавление картинки на форуме. Для защиты от такого внедрения рекомендуется использовать ко всем важным действиям подпись с параметра, имеющего связь с куками конкретного пользователя.
Не поддавайтесь на провокации и не предоставляйте свои личные учетные данные пользователя ни кому, даже если вам будут представляться администраторами сайта или форума. Не идите на контакт со злоумышленником.
Ну и, конечно же, нельзя забывать о подложном сайте, который полностью копирует оформление исходного сайта и схожий с ним URL. В этом случае он нужен для кражи вашего логина и пароля. Будьте внимательны.