Обеспечение безопасности Web-сервисов

1. Обеспечение безопасности Web-сервисов

Безопасность
—
не
финальный
этап
разработки,
а
непрерывный
процесс,
интегрированный в жизненный цикл вебсервиса.
Уязвимости веб-сервисов создают
Прямую угрозу для
конфиденциальности, целостности и
доступности как бизнеса, так и
пользователей.

2.

Основные векторы атак и способы защиты
• Недостатки аутентификации и
авторизации
Слабости в механизмах проверки личности
пользователя (Аутентификация: кто ты?) и
определения его прав (Авторизация: что тебе можно?).
Внедрение надежных парольных политик,
многофакторной аутентификации (MFA), контроль
сессий и строгая проверка прав на каждую операцию.
• Уязвимости в компонентах
Использование сторонних библиотек и frameworks с известными
уязвимостиями.
Регулярное отслеживание уязвимостей (например, через CVE),
автоматическое обновление зависимостей и использование
только проверенных библиотек.
• Инъекции (SQL, NoSQL, OS Command)
Внедрение вредоносного кода в интерпретируемую среду
(БД, командную строку) через некорректно обработанные
пользовательские данные.
Использование подготовленных запросов (Prepared
Statements) и параметризованных вызовов, строгая
валидация входных данных.
• Межсайтовый скриптинг (XSS)
Внедрение вредоносных JavaScript-сценариев на
веб-страницы, которые выполняются в браузере
других пользователей.
Экранирование (escaping) HTML, JavaScript и CSS
кода перед выводом пользовательского контента,
использование Content Security Policy (CSP).