Безопасность становится все более важной частью создания современных веб-приложений, но она часто становится жертвой давления сжатых сроков сдачи проекта. Поскольку атаки становятся более сложными, защита наших пользователей становится не только этической ответственностью, но и частью сохранения репутации и доверия компании.
Чтобы понять с чем нам, как разработчикам, придется столкнуться - мы получим практический опыт, организовывая некоторые атаки, и при этом узнаем, как мы можем отбивать тех, кто причинит вред нашим пользователям.
Мы начнем с серии атак, связанных с клиентом веб-приложения, начиная с Cross-Site Scripting (XSS) и вложений вредоносных изображений / pdf. Мы получим аутентифицированных пользователей для выполнения нежелательных действий с использованием атаки на Cross-Site Scripting (CSRF), а также узнаем о таких стратегиях защиты, как токены CSRF. Мы даже узнаем, как создать атаку Clickjacking и использовать скрытые iframe, чтобы обмануть пользователей в взаимодействии с одним приложением, пока они думают что используют другое.
Затем мы обратим внимание на обратную сторону нашего веб-приложения. Мы будем использовать атаку SQL-инъекций, чтобы разоблачить личную информацию из базы данных и научиться правильно дезинформировать пользовательский ввод, чтобы защитить от такого рода вещей. Мы также будем атаковать систему аутентификации приложения, чтобы попытаться определить, какие имена пользователей соответствуют зарегистрированным учетным записям.
Наконец, мы рассмотрим сетевое соединение между нашим пользователем и контентом веб-приложения и изучим, как проводится стадия «человек в середине». Мы получим практический опыт использования современных функций безопасности браузера, таких как заголовки HSTS и технологии Subresource Integrity, которые могут защитить пользователей от взломанной сети WiFi.
