Урок 10. Безопасность мини-приложений

Главное в уроке

В этом уроке мы выделили следующие проблемы безопасности:

•
Уязвимость контроля, например:
- •
  Отсутствие проверки подписи.
- •
  Ошибки в реализации проверки доступа.
- •
  Дублирование vk_user_id с другим значением, что позволяет пройти валидацию подписи и получить доступ к чужому аккаунту.
- •
  Слабый пароль или его отсутствие в панели администратора мини-приложения.
- •
  Ошибки в бизнес-логике или доверие данным, передающимся с клиента на сервер.
•
Раскрытие информации, например:
- •
  Утечки в коде клиентской части.
- •
  Возврат скрытых данных на запросы, выполненные с ошибками.
- •
  Раскрытие системных переменных в debug-режиме.
- •
  Раскрытие данных в открытых репозиториях.
•

Race condition — уязвимость, которая возникает при параллельных запросах к серверной части приложения.