OWASP (Open Web Application Security Project) ежегодно публикует список наиболее опасных веб-уязвимостей. Top 3 за 2021 год: A01 Broken Access Control (доступ пользователя к запрещённым ресурсам), A02 Cryptographic Failures (слабое шифрование или его отсутствие), A03 Injection (внедрение SQL, OS, LDAP).
Практические рекомендации для разработчиков: защита от SQL-инъекций — prepared statements и параметризованные запросы. От XSS — экранирование на выводе, заголовок Content Security Policy. CSRF — паттерн synchronizer token. Broken Authentication — управление сессиями, защита от brute force, MFA. Безопасность — не «фича», а архитектура: об этом нужно думать с самого начала.
Наши курсы по этой теме