De mest almindelige sikkerhedssårbarheder i Laravel-applikationer omfatter:
1. Cross-Site Scripting (XSS): Opstår, når brugerleverede data ikke er korrekt renset, før de gengives på en webside, hvilket tillader angribere at injicere ondsindede scripts[1][3].
2. SQL-injektion (SQLi): Sker, når brugerinput ikke er korrekt valideret eller renset, før det bruges i databaseforespørgsler, hvilket giver angribere uautoriseret adgang til følsomme data[1][3].
3. Cross-Site Request Forgery (CSRF): Tillader angribere at udføre uautoriserede handlinger på vegne af en godkendt bruger, hvilket fører til økonomiske tab, databrud og skade på omdømme[1][3].
4. Insecure Direct Object References (IDOR): Afslører interne implementeringsdetaljer, såsom databasenøgler eller filstier, i URL'er eller parametre, hvilket gør det muligt for angribere at manipulere disse referencer for at få adgang til uautoriserede ressourcer[1].
5. Usikker deserialisering: Opstår, når ikke-pålidelige data deserialiseres uden korrekt validering eller deserialisering, hvilket giver angribere mulighed for at udføre vilkårlig kode, udføre lammelsesangreb eller manipulere med applikationslogik[1].
6. Problemer med godkendelse og sessionsstyring: Svage godkendelsesmekanismer, såsom utilstrækkelig hashing med adgangskode eller mangel på multifaktorgodkendelse, kan føre til uautoriseret adgang. Utilstrækkelig sessionsstyring kan også udsætte brugere for sessionskapring eller fikseringsangreb[1].
7. Følsomme dataeksponering: Eksponering af følsomme oplysninger, såsom adgangskoder, API-nøgler eller personligt identificerbare oplysninger (PII), i logfiler, fejlmeddelelser eller svaroverskrifter kan føre til identitetstyveri, databrud eller andet ondsindet aktiviteter[1].
8. Omdirigeringer og videresendelser uden validering: Manglende validering af omdirigeringer og videresendelser baseret på brugerleveret input kan føre til omdirigering af brugere til ondsindede websteder eller phishing-sider[1].
9. Validering: Forsømmelse af inputvalidering kan udsætte applikationer for injektionsangreb[1].
10. Afhængigheder: Undladelse af at opdatere tredjepartsafhængigheder rettidigt kan udsætte applikationer for sårbarheder[1].
Disse sårbarheder kan afbødes ved at følge bedste praksis såsom inputvalidering, output-escape, parameteriserede forespørgsler, autentificering, autorisation og kryptering, samt holde sig informeret om de seneste sikkerhedstrusler og regelmæssigt opdatere afhængigheder[1][3].
Citater:[1] https://acquaintsoft.com/answers/prevention-for-security-vulnerabilities-in-laravel
[2] https://www.cvedetails.com/vulnerability-list/vendor_id-16542/Laravel.html
[3] https://www.ropstam.com/laravel-security-best-practices/
[4] https://clouddevs.com/laravel/protecting-web-application/
[5] https://magecomp.com/blog/laravel-security-best-practices/