# Каковы есть основные виды уязвимости веб-приложений?

Ключевые виды уязвимостей веб-приложений хорошо описаны в списке **OWASP Top 10**. Основные из них:

***

#### **1. SQL Injection (SQLi)**

Внедрение произвольных SQL-запросов через ввод пользователя.\
**Пример:** в поле логина вводится `"' OR '1'='1"`, что даёт доступ без пароля.

***

#### **2. XSS (Cross-Site Scripting)**

Внедрение вредоносного JavaScript-кода в страницу, который выполняется у других пользователей.\
**Пример:** `<script>alert('hacked')</script>`.

***

#### **3. CSRF (Cross-Site Request Forgery)**

Атака, при которой злоумышленник заставляет авторизованного пользователя выполнить нежелательный запрос (например, перевод денег).

***

#### **4. Broken Authentication & Session Management**

Ошибки в механизмах аутентификации и управления сессией: слабые пароли, уязвимые токены, неправильная настройка cookies.

***

#### **5. Broken Access Control**

Неверная проверка прав доступа.\
**Пример:** обычный пользователь получает доступ к админской странице.

***

#### **6. Insecure Deserialization**

Использование небезопасной десериализации объектов, что может привести к выполнению произвольного кода.

***

#### **7. Security Misconfiguration**

Ошибки конфигурации серверов и приложений.\
**Пример:** включённый debug-режим на проде, доступные системные файлы.

***

#### **8. Sensitive Data Exposure**

Передача или хранение конфиденциальных данных без шифрования.\
**Пример:** пароли в базе в открытом виде.

***

#### **9. Using Components with Known Vulnerabilities**

Использование библиотек и фреймворков с известными уязвимостями.

***

#### **10. Insufficient Logging & Monitoring**

Отсутствие журналирования и мониторинга атак → позднее обнаружение инцидентов.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://kaze.gitbook.io/qa-theory/web/kakovy-est-osnovnye-vidy-uyazvimosti-veb-prilozhenii.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.