Najčastejšie bezpečnostné chyby v aplikáciách Laravel zahŕňajú:
1. Cross-Site Scripting (XSS): Vyskytuje sa, keď údaje dodané používateľom nie sú správne vyčistené pred ich vykreslením na webovej stránke, čo umožňuje útočníkom vkladať škodlivé skripty[1][3].
2. SQL Injection (SQLi): Stáva sa, keď používateľský vstup nie je správne overený alebo dezinfikovaný pred použitím v databázových dotazoch, čím sa útočníkom poskytne neoprávnený prístup k citlivým údajom[1][3].
3. Cross-Site Request Forgery (CSRF): Umožňuje útočníkom vykonávať neoprávnené akcie v mene overeného používateľa, čo vedie k finančným stratám, narušeniu údajov a poškodeniu dobrej povesti[1][3].
4. Insecure Direct Object References (IDOR): Odhaľuje detaily internej implementácie, ako sú kľúče databázy alebo cesty k súborom, v adresách URL alebo parametroch, čo útočníkom umožňuje manipulovať s týmito referenciami s cieľom získať prístup k neoprávneným zdrojom[1].
5. Nezabezpečená deserializácia: Vyskytuje sa, keď sú nedôveryhodné údaje deserializované bez riadneho overenia alebo dezinfekcie, čo útočníkom umožňuje spustiť ľubovoľný kód, vykonávať útoky odmietnutia služby alebo manipulovať s aplikačnou logikou[1].
6. Problémy s autentifikáciou a správou relácií: Slabé autentifikačné mechanizmy, ako napríklad nedostatočné hashovanie hesla alebo chýbajúca viacfaktorová autentifikácia, môžu viesť k neoprávnenému prístupu. Neadekvátna správa relácií môže tiež vystaviť používateľov napadnutiu relácie alebo útokom na fixáciu[1].
7. Odhalenie citlivých údajov: Odhalenie citlivých informácií, ako sú heslá, kľúče API alebo osobné údaje (PII), v protokoloch, chybových správach alebo hlavičkách odpovedí môže viesť ku krádeži identity, narušeniu údajov alebo iným škodlivým činnosti[1].
8. Presmerovania a presmerovania bez overenia: Neoverenie presmerovaní a presmerovaní na základe vstupu dodaného používateľom môže viesť k presmerovaniu používateľov na škodlivé webové stránky alebo phishingové stránky[1].
9. Validácia: Zanedbanie overenia vstupu môže vystaviť aplikácie útokom vstrekovania[1].
10. Závislosti: Neschopnosť aktualizovať závislosti tretích strán včas môže vystaviť aplikácie zraniteľným miestam[1].
Tieto slabé miesta je možné zmierniť dodržiavaním osvedčených postupov, ako je overenie vstupu, únik na výstup, parametrizované dotazy, autentifikácia, autorizácia a šifrovanie, ako aj informovanie o najnovších bezpečnostných hrozbách a pravidelná aktualizácia závislostí[1][3].
Citácie:[1] https://acquaintsoft.com/answers/prevention-for-security-vulnerabilities-in-laravel
[2] https://www.cvedetails.com/vulnerability-list/vendor_id-16542/Laravel.html
[3] https://www.ropstam.com/laravel-security-best-practices/
[4] https://clouddevs.com/laravel/protecting-web-application/
[5] https://magecomp.com/blog/laravel-security-best-practices/