web
7 статей с этим тегом
Что такое CORS — как он работает и что открывает неправильная настройка
CORS — это то, как браузер управляет тем, может ли JS другого источника читать ответы вашего API. Неправильная настройка — отражение любого Origin или Access-Control-Allow-Origin:* с учётными данными — позволяет стороннему сайту читать данные с активным сеансом. Реальная защита: allowlist, не отражать Origin вслепую, запрет по умолчанию.
Что такое фиксация сессии — заставить жертву войти с ID, который атакующий уже знает
Фиксация сессии заставляет жертву использовать известный атакующему ID сессии, а затем выдаёт себя за неё после её входа с этим ID. Реальная защита: регенерировать ID сессии при входе (и при смене привилегий). Не принимайте ID из URL и укрепляйте cookie флагами HttpOnly/Secure/SameSite.
Что такое кликджекинг — невидимые ловушки, заставляющие нажимать скрытые кнопки
Кликджекинг невидимо накладывает ваш настоящий сайт поверх страницы злоумышленника, чтобы пользователь выполнил непреднамеренное действие (перевод, изменение настроек, согласие). Реальная защита — отказ помещаться во фрейм: CSP frame-ancestors плюс X-Frame-Options.
Что такое открытый редирект — ваш доверенный URL как трамплин на чужой сайт
Открытый редирект позволяет параметру вроде ?next= перенаправить пользователя на любой внешний сайт, заимствуя доверие к вашему домену для фишинга. Реальная защита: никогда не принимать внешние URL как цель редиректа — только относительные пути и allowlist.
Что такое path traversal — чтение файлов, которые сервер не должен отдавать, через ../
Path traversal подмешивает ../ во ввод имени файла, чтобы выйти из базового каталога и читать/писать .env, конфиги или ключи. Реальная защита: никогда не использовать пользовательский ввод как сырой путь к файлу и нормализовать-затем-ограничивать внутри разрешённого базового каталога.
Что такое CSRF (Cross-Site Request Forgery) — как заставить вошедшего пользователя действовать ненамеренно
CSRF заставляет браузер вошедшего пользователя отправить непреднамеренное действие, злоупотребляя привычкой браузера автоматически прикреплять куки. Реальная защита — CSRF-токены плюс куки SameSite. Никогда не используйте GET для изменений состояния.
Что такое XSS (Cross-Site Scripting) — код, выполняющийся в чужом браузере
XSS заставляет подставленную атакующим строку выполниться «как скрипт» в браузере другого пользователя — прямой путь к краже сессии и выдаче себя за него. Реальная защита — экранирование на выводе. Не отключайте авто-экранирование вашего фреймворка.