25.04.2025  Экспертиза, Безопасность, Менеджмент

Через меня и моих коллег прошло более сотни проектов по пентесту крупных компаний в сфере финансов, госструктур, промышленности и ритейла. Мы проанализировали наиболее часто встречающиеся уязвимости веб-приложений и собрали топ-6 на основе своего опыта. В материале расскажем, какие «болячки» бывают у веб-приложений чаще всего, как их находят и эксплуатируют хакеры и как от них вылечиться. 1. Инъекции в HTML и JavaScript Javascript-инъекции и HTML-инъекции давно известны в кибербез-сообществе, но всё равно не перестают встречаться. Через такие уязвимости можно подменить внешний вид сайта, встроить фишинговую форму, украсть cookies, провести редирект на вредоносный ресурс и выполнить ряд других действий от имени пользователя. Отдельно можно выделить Form Hijacking — когда хакер подменяет форму и провоцирует пользователя отправить конфиденциальные данные злоумышленникам. Эти уязвимости в основном появляются из-за небезопасной обработки ввода пользователя или неправильного использования библиотек для разработки сайта. Как защититься: Чтобы защититься от HTML- и JavaScript-инъекций, в первую очередь нужно жёстко контролировать пользовательский ввод: экранировать или удалять опасные символы перед выводом в HTML. Использовать готовые шаблонизаторы и библиотеки с автоэкранированием, вместо ручной вставки значений в разметку. Настраивать Content Security Policy (CSP), чтобы ограничить выполнение стороннего кода. Не забывать проверять не только поля форм, но и заголовки, cookies ... читать далее.