Mezi nejčastější bezpečnostní chyby v aplikacích Laravel patří:
1. Cross-Site Scripting (XSS): Vyskytuje se, když data dodaná uživatelem nejsou řádně dezinfikována před jejich vykreslením na webové stránce, což útočníkům umožňuje vkládat škodlivé skripty[1][3].
2. SQL Injection (SQLi): Dochází k tomu, když uživatelský vstup není před použitím v databázových dotazech řádně ověřen nebo dezinfikován, což útočníkům poskytne neoprávněný přístup k citlivým datům[1][3].
3. Cross-Site Request Forgery (CSRF): Umožňuje útočníkům provádět neoprávněné akce jménem ověřeného uživatele, což vede k finančním ztrátám, narušení dat a poškození pověsti[1][3].
4. Insecure Direct Object References (IDOR): Odhaluje detaily interní implementace, jako jsou databázové klíče nebo cesty k souborům, v adresách URL nebo parametrech, což umožňuje útočníkům manipulovat s těmito odkazy za účelem přístupu k neoprávněným zdrojům[1].
5. Nezabezpečená deseralizace: Vyskytuje se, když jsou nedůvěryhodná data deserializována bez řádného ověření nebo dezinfekce, což útočníkům umožňuje spouštět libovolný kód, provádět útoky typu denial-of-service nebo manipulovat s aplikační logikou[1].
6. Problémy s ověřováním a správou relací: Slabé autentizační mechanismy, jako je nedostatečné hashování hesel nebo chybějící vícefaktorová autentizace, mohou vést k neoprávněnému přístupu. Neadekvátní správa relací může také uživatele vystavit útokům na únosy relací nebo fixaci[1].
7. Vystavení citlivých údajů: Vyzrazení citlivých informací, jako jsou hesla, klíče API nebo osobní údaje (PII), v protokolech, chybových zprávách nebo hlavičkách odpovědí může vést ke krádeži identity, narušení dat nebo jiným škodlivým činnosti[1].
8. Přesměrování a přesměrování bez ověření: Selhání při ověření přesměrování a přesměrování na základě vstupu dodaného uživatelem může vést k přesměrování uživatelů na škodlivé webové stránky nebo phishingové stránky[1].
9. Validace: Zanedbání validace vstupu může vystavit aplikace útokům injekce[1].
10. Závislosti: Neschopnost aktualizovat závislosti třetích stran včas může vystavit aplikace zranitelnostem[1].
Tyto zranitelnosti lze zmírnit dodržováním osvědčených postupů, jako je ověřování vstupu, escapování výstupu, parametrizované dotazy, autentizace, autorizace a šifrování, stejně jako neustálé informování o nejnovějších bezpečnostních hrozbách a pravidelná aktualizace závislostí[1][3].
Citace:[1] https://acquaintsoft.com/answers/prevention-for-security-vulnerabilities-in-laravel
[2] https://www.cvedetails.com/vulnerability-list/vendor_id-16542/Laravel.html
[3] https://www.ropstam.com/laravel-security-best-practices/
[4] https://clouddevs.com/laravel/protecting-web-application/
[5] https://magecomp.com/blog/laravel-security-best-practices/