Топ 5 найпоширеніших вразливостей у веб-додатках

แชร์
ฝัง

ความคิดเห็น • 5

  • @agony4181
    @agony4181 หลายเดือนก่อน +1

    Дуже цікаво, прошу більше інфи про веб бруд та веб гігену, але більше про веб бруд :)

  • @SoundScape_Hub
    @SoundScape_Hub 2 วันที่ผ่านมา +1

    Найбільш тупим, як на мене, є випадок, коли на сервері відсутні обмеження доступу (CORS) до важливих систем. Приклад з недавнього: є сайт, який безкоштовно надає доступ до моделі, але в межах певного ліміту. Проте цей ліміт встановлено лише на фронтенді. Я просто скопіював запит і відправив новий, але вже з даними, що перевищують ліміти, і отримав коректну відповідь. Прикол у тому, що тепер у мене є доступ до моделі в більшому обсязі, ніж у платній версії. Якби були налаштовані CORS або якісь інші обмеження на сервері, такого б не сталося. Не знаю, як правильно називається цей тип "взлому", і чи це взагалі взлом

    • @WebxInUa
      @WebxInUa  2 วันที่ผ่านมา

      Привіт!
      Те, що ти описуєш, можна назвати вразливістю типу "обхід обмежень на рівні клієнта" або "обхід клієнтських обмежень". Це не зовсім "взлом" у традиційному сенсі, але це певно використання помилки безпеки, оскільки ти обійшов обмеження, які встановлені лише на фронтенді.

  • @IvanPetrov-b8n
    @IvanPetrov-b8n หลายเดือนก่อน +1

    що робити з флудом з кількох IP одночасно ? багато запитів на одну й ту саму сторінку пошук з різних IP

    • @WebxInUa
      @WebxInUa  หลายเดือนก่อน

      @@IvanPetrov-b8n Привіт, є декілька способів, я б виділив 3 основні:
      1. Rate Limiting: Встановіть обмеження на кількість запитів, які можуть бути зроблені з однієї IP-адреси за певний проміжок часу. Після досягнення ліміту можна кидати 429 статус - to many requests
      2. IP Blocking/Blacklisting: Виявляйте та блокуйте підозрілі IP-адреси, які надсилають надмірну кількість запитів або мають схожі шаблони поведінки.
      3. Captcha Verification: Впровадьте CAPTCHA для підтвердження, що запити надсилає реальна людина. Можна використовувати щось типу google captcha v3