Краткий курс по выявлению уязвимостей
Как выглядит веб-приложение глазами атакующего, какие дыры в безопасности встречаются чаще всего и что с этим делать на практике? В статье «Основы безопасности веб-приложений: краткий «курс» по выявлению уязвимостей» наш AppSec BP собрал небольшое обучение по основам безопасности веб-приложений — от базового понимания архитектуры до превентивного выявления уязвимостей.
Разбираем, где именно в типичном веб-стеке возникают риски, как связаны между собой классы уязвимостей из OWASP Top 10 и что разработчикам, тестировщикам и безопасникам нужно проверять в первую очередь. Материал не ограничивается теорией: показан практический подход к поиску багов, типичные ошибки при настройке доступа, аутентификации, логирования и работы с внешними компонентами.
Статья будет полезна backend и frontend разработчикам, тимлидам, DevOps-инженерам и начинающим AppSec-специалистам, которые хотят выстроить базовое «мышление безопасностью» и на��читься видеть приложение так, как его видит злоумышленник.
