Visbiežāk sastopamās drošības ievainojamības Laravel lietojumprogrammās ir šādas:
1. Starpvietņu skriptēšana (XSS): notiek, ja lietotāja sniegtie dati nav pareizi tīrīti pirms to renderēšanas tīmekļa lapā, ļaujot uzbrucējiem ievadīt ļaunprātīgus skriptus[1][3].
2. SQL injekcijas (SQLi): notiek, ja lietotāja ievade nav pareizi apstiprināta vai sanitizēta pirms tās izmantošanas datu bāzes vaicājumos, nodrošinot uzbrucējiem nesankcionētu piekļuvi sensitīviem datiem[1][3].
3. Starpvietņu pieprasījuma viltošana (CSRF): ļauj uzbrucējiem veikt nesankcionētas darbības autentificēta lietotāja vārdā, izraisot finansiālus zaudējumus, datu pārkāpumus un reputācijas bojājumus[1][3].
4. Nedrošas tiešās objektu atsauces (IDOR): vietrāžos URL vai parametros tiek atklāta iekšējās ieviešanas informācija, piemēram, datu bāzes atslēgas vai failu ceļi, ļaujot uzbrucējiem manipulēt ar šīm atsaucēm, lai piekļūtu nesankcionētiem resursiem[1].
5. Nedroša deserializācija: notiek, ja neuzticami dati tiek deserializēti bez atbilstošas validācijas vai sanitizācijas, ļaujot uzbrucējiem izpildīt patvaļīgu kodu, veikt pakalpojuma atteikuma uzbrukumus vai manipulēt lietojumprogrammu loģiku[1].
6. Autentifikācijas un sesiju pārvaldības problēmas: vāji autentifikācijas mehānismi, piemēram, nepietiekama paroles jaukšana vai vairāku faktoru autentifikācijas trūkums, var izraisīt nesankcionētu piekļuvi. Neatbilstoša sesiju pārvaldība var arī pakļaut lietotājus sesiju nolaupīšanas vai fiksācijas uzbrukumiem[1].
7. Sensitīvu datu ekspozīcija: sensitīvas informācijas, piemēram, paroļu, API atslēgu vai personu identificējošas informācijas (PII) atklāšana žurnālos, kļūdu ziņojumos vai atbilžu galvenēs var izraisīt identitātes zādzību, datu pārkāpumus vai citu ļaunprātīgu darbību. darbības[1].
8. Novirzīšana un pārsūtīšana bez validācijas: ja netiek apstiprināta novirzīšana un pārsūtīšana, pamatojoties uz lietotāja ievadīto informāciju, lietotāji var tikt novirzīti uz ļaunprātīgām vietnēm vai pikšķerēšanas lapām[1].
9. Validācija: ievades validācijas neievērošana var pakļaut lietojumprogrammas injekcijas uzbrukumiem[1].
10. Atkarības: ja netiek laikus atjauninātas trešās puses atkarības, lietojumprogrammas var tikt pakļautas ievainojamībām[1].
Šīs ievainojamības var mazināt, ievērojot paraugpraksi, piemēram, ievades validāciju, izvades aizbēgšanu, parametrizētus vaicājumus, autentifikāciju, autorizāciju un šifrēšanu, kā arī pastāvīgi informējot par jaunākajiem drošības apdraudējumiem un regulāri atjauninot atkarības[1][3].
Citāts:[1] https://acquaintsoft.com/answers/prevention-for-security-vulnerabilities-in-laravel
[2] https://www.cvedetails.com/vulnerability-list/vendor_id-16542/Laravel.html
[3] https://www.ropstam.com/laravel-security-best-practices/
[4] https://clouddevs.com/laravel/protecting-web-application/
[5] https://magecomp.com/blog/laravel-security-best-practices/