Ниже — краткий список типичных уязвимостей, как они работают в общих чертах (без пошаговых эксплойтов) и конкретные меры устранения с упором на подготовленные выражения, валидацию, параметризацию и политику минимальных привилегий.
1) SQL‑инъекция
- Суть: неконтролируемый ввод попадает в SQL‑запрос и изменяет его семантику.
- Как эксплуатируют (высокоуровнево): злоумышленник подставляет данные, которые закрывают/модифицируют части запроса, получая доступ к данным или изменяя их.
- Меры: использовать подготовленные выражения / параметризованные запросы (prepared statements / parameterized queries) всегда на сервере; никогда не конкатенировать строку запроса с пользовательским вводом; проверять и беллистить вход (тип, длину, формат); использовать аккаунты БД с минимальными правами (только SELECT/INSERT/UPDATE/DELETE по необходимости); логировать подозрительные запросы и ввод.
2) Cross‑Site Scripting (XSS)
- Суть: вредоносный скрипт попадает в страницу и выполняется в контексте браузера жертвы.
- Как эксплуатируют: ввод, который выводится в HTML без экранирования, позволяет выполнять JS в чужом контексте.
- Меры: всегда экранировать/кодировать выход (output encoding) для HTML, атрибутов, JS и URL; применять серверную валидацию; использовать Content Security Policy (CSP); избегать вставки необработанного HTML из пользовательских данных.
3) Cross‑Site Request Forgery (CSRF)
- Суть: браузер пользователя выполняет нежелательное действие от его имени.
- Как эксплуатируют: злоумышленник заставляет клиента отправить запрос к целевому сайту с сессией жертвы.
- Меры: использовать CSRF‑токены для изменяющих действий; проверять Origin/Referer; для критичных операций требовать re‑authentication или одноразовый токен; использовать SameSite и Secure для cookie.
4) Broken Authentication / Session management
- Суть: слабая аутентификация или управление сессиями позволяет угонять учётные записи.
- Как эксплуатируют: перехват/подбор сессий, предсказуемые токены или утечка паролей.
- Меры: хранить пароли хешированными современными алгоритмами (например Argon2/Bcrypt с солью); использовать защищённые cookie (HttpOnly, Secure, SameSite); применять многократную аутентификацию (2FA); контролировать срок жизни сессий; логи и блокировка по подозрению.
5) Insecure Direct Object References (IDOR) / Broken Access Control
- Суть: отсутствие проверки прав доступа на уровне сервера при обращении к объектам по идентификатору.
- Как эксплуатируют: изменяют идентификатор ресурса в запросе и получают чужие данные.
- Меры: авторизация на каждом запросе (server‑side), принцип наименьших привилегий (каждому пользователю минимальные права), RBAC/ABAC, parameterize идентификаторы и проверять владельца ресурса.
6) Command injection / OS‑level injection
- Суть: пользовательский ввод попадает в вызовы системы/шелла и выполняет команды.
- Как эксплуатируют: вставляют специальные конструкции в ввод, которые интерпретируются оболочкой.
- Меры: избегать вызова shell; использовать API с параметризацией (например execve с массивом аргументов), строгая валидация/беллистинг входа, запускать процессы с минимальными правами, контейнеризация/изоляция.
7) File upload / Path traversal
- Суть: загрузка вредоносных файлов или манипуляции путями для доступа к файлам вне разрешённой папки.
- Как эксплуатируют: грузят веб‑шелл или используют «../» для обхода ограничений.
- Меры: проверять тип и содержимое файлов на сервере (MIME, сигнатуры), сохранять файлы вне webroot, генерировать безопасные имена файлов, запрещать исполнение в директории загрузок, беллистить расширения, сканировать на вирусы.
8) Insecure deserialization
- Суть: десериализация данных, содержащих объекты/дескрипторы, допускает выполнение кода или изменение состояния приложения.
- Как эксплуатируют: подставляют сериализованные объекты, которые при десериализации вызывают нежелательное поведение.
- Меры: избегать десериализации непроверенных данных; использовать безопасные форматы (JSON) и строгую проверку схем; подписывать/шифровать сериализованные полезные нагрузки; применять минимальные привилегии при выполнении.
9) Информационные утечки и ошибка обработки ошибок
- Суть: подробные сообщения об ошибках, стеки, конфигурации и ключи в ответах облегчают атаку.
- Как эксплуатируют: собирают информацию о структуре приложения, версии ПО, БД и т. п.
- Меры: не возвращать стеки/системные сообщения пользователю; централизовать логи и хранить детальную информацию в защищённых логах; мониторинг и оповещение.
10) Уязвимости компонентов / устаревшие зависимости
- Суть: известные уязвимости в библиотеках и фреймворках.
- Как эксплуатируют: используют публичные эксплойты против известных версий.
- Меры: регулярное обновление, SCA‑сканирование (Software Composition Analysis), ограничение прав используемых компонентов, минимизация используемых библиотек.
Общие практики (кратко и применимо к запросу):
- Параметризация запросов: всегда использовать подготовленные выражения для БД; в коде это означает передавать параметры отдельно от текста запроса.
- Валидация: серверная беллист‑валидация по типу/регулярным выражениям/диапазону; ограничение длины; отказ от «чёрных списков» в пользу «белых».
- Параметризация вызовов ОС/шаблонов: не подставлять необработанные строки в командные вызовы или шаблоны; использовать API с явными параметрами.
- Политика минимальных привилегий: для БД — аккаунты с минимальным набором операций; для приложений/контейнеров — минимальные системные права; для сервисов — разделение прав и изоляция.
- Защита в глубину: контроль доступа на каждом уровне (UI, API, БД), шифрование канала (TLS), аудит и мониторинг, автоматизированное тестирование безопасности (SAST/DAST), CI/CD‑контроль зависимостей.
Если нужно, могу кратко перечислить приоритеты исправления по критичности для конкретного приложения (например публичный веб‑сайт, внутренняя корпоративная система), но для этого мне нужны сведения о стеке и архитектуре.