Каковы есть основные виды уязвимости веб-приложений?

Ключевые виды уязвимостей веб-приложений хорошо описаны в списке OWASP Top 10. Основные из них:

---

1. SQL Injection (SQLi)

Внедрение произвольных SQL-запросов через ввод пользователя. Пример: в поле логина вводится "' OR '1'='1", что даёт доступ без пароля.

---

2. XSS (Cross-Site Scripting)

Внедрение вредоносного JavaScript-кода в страницу, который выполняется у других пользователей. Пример: <script>alert('hacked')</script>.

---

3. CSRF (Cross-Site Request Forgery)

Атака, при которой злоумышленник заставляет авторизованного пользователя выполнить нежелательный запрос (например, перевод денег).

---

4. Broken Authentication & Session Management

Ошибки в механизмах аутентификации и управления сессией: слабые пароли, уязвимые токены, неправильная настройка cookies.

---

5. Broken Access Control

Неверная проверка прав доступа. Пример: обычный пользователь получает доступ к админской странице.

---

6. Insecure Deserialization

Использование небезопасной десериализации объектов, что может привести к выполнению произвольного кода.

---

7. Security Misconfiguration

Ошибки конфигурации серверов и приложений. Пример: включённый debug-режим на проде, доступные системные файлы.

---

8. Sensitive Data Exposure

Передача или хранение конфиденциальных данных без шифрования. Пример: пароли в базе в открытом виде.

---

9. Using Components with Known Vulnerabilities

Использование библиотек и фреймворков с известными уязвимостями.

---

10. Insufficient Logging & Monitoring

Отсутствие журналирования и мониторинга атак → позднее обнаружение инцидентов.