Podręcznik
1. Wprowadzenie
1.2. Podatności aplikacji internetowych
W kolejnych rozdziałach zajmiemy się tematyką podatności aplikacji internetowych bazując na klasyfikacji OWASP. Raport z 2021 roku definiuje następujące klasy podatności w kolejności ich znaczenia i częstości występowania:
- błędna kontrola dostępu,
- błędy w wykorzystaniu kryptografii,
- wstrzykiwanie,
- niebezpieczny projekt,
- błędna konfiguracja zabezpieczeń,
- podatne i nieaktualne komponenty,
- błędny uwierzytelnienia,
- błędy integralności,
- nieprawidłowe wykorzystanie dzienników i systemów monitorowania,
- SSRF – server side request forgery.
Klasyfikacja ta grupuje często kilka rodzajów podatności w jednej pozycji, dlatego też przyjrzymy się im w trochę innym układzie.
Uwaga
ogólna – nie zawsze pojedyncza podatność prowadzi do skutecznego ataku. To tak, jak w przypadku wypadków lotniczych - bardzo rzadko przyczyną jest tylko jeden bład lub jedna awaria. Bardzo
często niezbędne jest wykorzystanie łańcucha złożonego z dwóch lub większej
liczby podatności aby osiągnąć założony efekt.