Katere so najpogostejše varnostne ranljivosti v aplikacijah Laravel

1. Cross-Site Scripting (XSS): Pojavi se, ko podatki, ki jih posreduje uporabnik, niso pravilno prečiščeni, preden so upodobljeni na spletni strani, kar napadalcem omogoči vbrizgavanje zlonamernih skriptov[1][3].

2. Vbrizgavanje SQL (SQLi): Zgodi se, ko uporabniški vnos ni ustrezno preverjen ali razčiščen, preden se uporabi v poizvedbah po zbirki podatkov, kar napadalcem omogoči nepooblaščen dostop do občutljivih podatkov[1][3].

3. Cross-Site Request Forgery (CSRF): Napadalcem omogoča izvajanje nepooblaščenih dejanj v imenu overjenega uporabnika, kar povzroči finančne izgube, kršitve podatkov in škodo ugledu [1][3].

4. Insecure Direct Object References (IDOR): razkriva notranje podrobnosti izvedbe, kot so ključi baze podatkov ali poti datotek, v URL-jih ali parametrih, kar napadalcem omogoča manipulacijo teh referenc za dostop do nepooblaščenih virov[1].

5. Nezanesljiva deserializacija: Pojavi se, ko so nezaupljivi podatki deserializirani brez ustreznega preverjanja ali sanacije, kar napadalcem omogoča izvajanje poljubne kode, izvajanje napadov z zavrnitvijo storitve ali poseganje v logiko aplikacije[1].

6. Težave z avtentikacijo in upravljanjem sej: Šibki mehanizmi avtentikacije, kot je nezadostno zgoščevanje gesel ali pomanjkanje večfaktorske avtentikacije, lahko povzročijo nepooblaščen dostop. Neustrezno upravljanje seje lahko uporabnike izpostavi tudi ugrabitvi seje ali napadom fiksiranja[1].

7. Izpostavljenost občutljivim podatkom: razkritje občutljivih informacij, kot so gesla, ključi API ali osebno določljivi podatki (PII), v dnevnikih, sporočilih o napakah ali glavah odgovorov lahko vodi do kraje identitete, kršitev podatkov ali drugih zlonamernih dejavnosti[1].

8. Preusmeritve in posredovanja brez preverjanja: Neuspešno preverjanje preusmeritev in posredovanj na podlagi vnosa, ki ga posreduje uporabnik, lahko privede do preusmerjanja uporabnikov na zlonamerna spletna mesta ali strani z lažnim predstavljanjem[1].

9. Preverjanje: Zanemarjanje preverjanja vnosa lahko izpostavi aplikacije napadom z vbrizgavanjem[1].

10. Odvisnosti: Če odvisnosti tretjih oseb ne posodobite pravočasno, lahko aplikacije izpostavite ranljivostim[1].

Te ranljivosti je mogoče ublažiti z upoštevanjem najboljših praks, kot so preverjanje vnosa, uhajanje izhoda, parametrizirane poizvedbe, preverjanje pristnosti, avtorizacija in šifriranje, kot tudi z obveščanjem o najnovejših varnostnih grožnjah in rednim posodabljanjem odvisnosti[1][3].