Dažniausios Laravel programų saugos spragos:
1. Kryžminis scenarijus (XSS): atsiranda, kai vartotojo pateikti duomenys nėra tinkamai išvalomi prieš pateikiant juos tinklalapyje, todėl užpuolikai gali suleisti kenkėjiškų scenarijų[1][3].
2. SQL įvedimas (SQLi): atsitinka, kai vartotojo įvestis nėra tinkamai patvirtinta arba išvalyta prieš naudojant duomenų bazės užklausose, todėl užpuolikams suteikiama neteisėta prieiga prie jautrių duomenų[1][3].
3. Kryžminių užklausų klastojimas (CSRF): leidžia užpuolikams autentifikuoto vartotojo vardu atlikti neteisėtus veiksmus, dėl kurių patiriami finansiniai nuostoliai, duomenų pažeidimai ir daroma žala reputacijai[1][3].
4. Nesaugios tiesioginių objektų nuorodos (IDOR): URL adresuose arba parametruose atskleidžiama vidinė diegimo informacija, pvz., duomenų bazės raktai arba failų keliai, todėl užpuolikai gali manipuliuoti šiomis nuorodomis, kad pasiektų neteisėtus išteklius[1].
5. Nesaugus serializavimas: atsiranda, kai nepatikimi duomenys deserializuojami be tinkamo patvirtinimo ar valymo, leidžiant užpuolikams vykdyti savavališką kodą, vykdyti paslaugų atsisakymo atakas arba sugadinti programos logiką[1].
6. Autentifikavimo ir seanso valdymo problemos: silpni autentifikavimo mechanizmai, pvz., nepakankama slaptažodžio maiša arba kelių veiksnių autentifikavimo nebuvimas, gali sukelti neteisėtą prieigą. Netinkamas seansų valdymas taip pat gali sukelti naudotojams seanso užgrobimo arba fiksavimo atakas[1].
7. Skelbtinų duomenų atskleidimas: neskelbtinos informacijos, pvz., slaptažodžių, API raktų ar asmens identifikavimo informacijos (PII), atskleidimas žurnaluose, klaidų pranešimuose ar atsakymų antraštėse gali sukelti tapatybės vagystę, duomenų pažeidimus ar kitus kenkėjiškus veiksmus. veikla[1].
8. Peradresavimai ir persiuntimai be patvirtinimo: nepatvirtinus peradresavimų ir persiuntimų pagal vartotojo pateiktą įvestį, naudotojai gali būti peradresuojami į kenkėjiškas svetaines arba sukčiavimo puslapius[1].
9. Patvirtinimas: neatsižvelgus į įvesties patvirtinimą, programos gali sukelti injekcijų atakas[1].
10. Priklausomybės: jei laiku neatnaujinsite trečiųjų šalių priklausomybių, programos gali susidurti su pažeidžiamumu[1].
Šiuos pažeidžiamumus galima sumažinti laikantis geriausios praktikos, pvz., įvesties tikrinimo, išvesties pašalinimo, parametrizuotų užklausų, autentifikavimo, autorizacijos ir šifravimo, taip pat nuolat informuojant apie naujausias saugumo grėsmes ir reguliariai atnaujinant priklausomybes[1][3].
Citatos:[1] https://acquaintsoft.com/answers/prevention-for-security-vulnerabilities-in-laravel
[2] https://www.cvedetails.com/vulnerability-list/vendor_id-16542/Laravel.html
[3] https://www.ropstam.com/laravel-security-best-practices/
[4] https://clouddevs.com/laravel/protecting-web-application/
[5] https://magecomp.com/blog/laravel-security-best-practices/