A Laravel alkalmazások leggyakoribb biztonsági rései a következők:
1. Cross-Site Scripting (XSS): Akkor fordul elő, ha a felhasználó által megadott adatok nincsenek megfelelően megtisztítva a weboldalon való megjelenítés előtt, így a támadók rosszindulatú szkripteket juttathatnak be[1][3].
2. SQL-injekció (SQLi): Akkor fordul elő, ha a felhasználói bevitel nincs megfelelően érvényesítve vagy megtisztítva az adatbázis-lekérdezésekben való felhasználás előtt, így a támadók jogosulatlan hozzáférést biztosítanak érzékeny adatokhoz[1][3].
3. Cross-Site Request Forgery (CSRF): Lehetővé teszi a támadók számára, hogy jogosulatlan műveleteket hajtsanak végre egy hitelesített felhasználó nevében, ami anyagi veszteségekhez, adatszivárgáshoz és jó hírnév-károsodáshoz vezet[1][3].
4. Nem biztonságos közvetlen objektum-hivatkozások (IDOR): Megmutatja a belső megvalósítás részleteit, például az adatbázis-kulcsokat vagy a fájl elérési útjait, az URL-ekben vagy a paraméterekben, lehetővé téve a támadók számára, hogy manipulálják ezeket a hivatkozásokat, hogy illetéktelen erőforrásokhoz férhessenek hozzá[1].
5. Nem biztonságos deszerializáció: Akkor fordul elő, amikor a nem megbízható adatokat megfelelő ellenőrzés vagy fertőtlenítés nélkül deszerializálják, így a támadók tetszőleges kódot futtathatnak, szolgáltatásmegtagadási támadásokat hajthatnak végre, vagy manipulálják az alkalmazáslogikát[1].
6. Hitelesítési és munkamenet-kezelési problémák: A gyenge hitelesítési mechanizmusok, például az elégtelen jelszókivonat vagy a többtényezős hitelesítés hiánya jogosulatlan hozzáféréshez vezethet. A nem megfelelő munkamenet-kezelés munkamenet-eltérítési vagy rögzítési támadásoknak is kiteheti a felhasználókat[1].
7. Kényes adatok közzététele: Érzékeny adatok, például jelszavak, API-kulcsok vagy személyazonosításra alkalmas adatok (PII) felfedése naplókban, hibaüzenetekben vagy válaszfejlécekben személyazonosság-lopáshoz, adatszivárgáshoz vagy más rosszindulatú forráshoz vezethet. tevékenységek[1].
8. Átirányítások és továbbítások ellenőrzés nélkül: Ha a felhasználó által megadott adatok alapján nem sikerül érvényesíteni az átirányításokat és továbbításokat, akkor a felhasználók rosszindulatú webhelyekre vagy adathalász oldalakra irányíthatók át[1].
9. Ellenőrzés: A bemeneti ellenőrzés figyelmen kívül hagyása injekciós támadásoknak teheti ki az alkalmazásokat[1].
10. Függőségek: A harmadik féltől származó függőségek időben történő frissítésének elmulasztása az alkalmazásokat sebezhetőségnek teheti ki[1].
Ezek a sérülékenységek csökkenthetők az olyan bevált gyakorlatok követésével, mint a bemeneti ellenőrzés, a kimeneti kilépés, a paraméterezett lekérdezések, a hitelesítés, az engedélyezés és a titkosítás, valamint a legfrissebb biztonsági fenyegetésekről való tájékozottság és a függőségek rendszeres frissítése[1][3].
Idézetek:[1] https://acquaintsoft.com/answers/prevention-for-security-vulnerabilities-in-laravel
[2] https://www.cvedetails.com/vulnerability-list/vendor_id-16542/Laravel.html
[3] https://www.ropstam.com/laravel-security-best-practices/
[4] https://clouddevs.com/laravel/protecting-web-application/
[5] https://magecomp.com/blog/laravel-security-best-practices/