Bosh sahifa Wiki Web security

Web security

Web security — veb-ilova, brauzer, server, API va ular qayta ishlaydigan ma’lumotlarni ruxsatsiz kirish, o‘zgartirish, oshkor qilish hamda xizmatni buzishdan himoyalash sohasi. U faqat HTTPS yoki firewall bilan cheklanmaydi. HTTPning stateless tabiati, brauzer origin modeli, foydalanuvchi kiritmasi, sessiya, uchinchi tomon kodi va backend ruxsatlari birgalikda xavfsizlik chegaralarini hosil qiladi.

Brauzerning origin modeli

Origin scheme, host va port uchligidan tuziladi. Same-origin policy bir origindagi scriptning boshqa origindagi sahifa ma’lumotini erkin o‘qishini cheklaydi. CORS serverga ayrim cross-origin so‘rovlarni aniq ruxsat etish imkonini beradi; u autentifikatsiya yoki server-to-server access control emas. Noto‘g‘ri Access-Control-Allow-Origin va credential kombinatsiyasi maxfiy javobni zararli saytga o‘qitishi mumkin.

iframe va postMessage orqali originlararo aloqa mumkin. Qabul qiluvchi event.originni aniq ro‘yxat bilan tekshiradi va kelgan data’ni ishonchsiz deb parse qiladi. * target origin maxfiy ma’lumot uchun ishlatilmaydi. Clickjackingga qarshi CSP frame-ancestors yoki eski X-Frame-Options sahifani begona iframe ichida ko‘rsatishni cheklaydi.

Kiritma va chiqarish

Input validation ma’lumotning turi, uzunligi va biznes qoidalariga mosligini tekshiradi. U XSSga qarshi output encodingning o‘rnini bosmaydi. Foydalanuvchi matni HTML body, atribut, JavaScript, CSS va URL kontekstlarida turlicha escape qilinadi. Template engine autoescapingni yoqadi, innerHTML kabi xavfli sinklar esa imkon qadar ishlatilmaydi.

SQL injection parametrli prepared statement bilan bartaraf etiladi; SQL sintaksisi va qiymat alohida uzatiladi. Jadval nomi kabi parametr qilib bo‘lmaydigan identifikator allowlistdan tanlanadi. OS command, LDAP, XPath va template injection har biri o‘z parseri va xavfsiz API’sini talab qiladi. “Barcha maxsus belgilarni olib tashlash” universal yechim emas.

Sessiya va so‘rovlar

Sessiya identifikatori taxmin qilib bo‘lmaydigan bo‘lib, login paytida yangilanadi. Cookie uchun Secure, HttpOnly va mos SameSite atributlari ishlatiladi. SameSite CSRFni kamaytiradi, ammo barcha navigatsiya va eski client holatlarini qamramaydi. State-changing endpoint anti-CSRF token va Origin tekshiruvi kabi qo‘shimcha nazoratga ega bo‘lishi mumkin.

Autentifikatsiya foydalanuvchi kimligini, avtorizatsiya esa har bir obyekt va amalga ruxsatni tekshiradi. Interfeysdagi tugmani yashirish server access controlini almashtirmaydi. /users/42 manzilidagi IDni /users/43ga o‘zgartirib begona ma’lumot olish IDOR yoki broken object level authorization xatosidir.

Xavfsizlik sarlavhalari

Content Security Policy script, style, frame va boshqa resurslarning ruxsat etilgan manbalarini belgilaydi. Nonce yoki hash inline scriptni nazoratli ishga tushirishga yordam beradi. CSP XSS ta’sirini kamaytiruvchi qo‘shimcha qatlam, lekin xavfsiz encoding o‘rnini bosmaydi. Strict-Transport-Security brauzerga domenni keyingi safar faqat HTTPS orqali ochishni bildiradi.

X-Content-Type-Options: nosniff MIME sniffingni cheklaydi. Referrer-Policy boshqa saytga qaysi URL ma’lumoti uzatilishini boshqaradi. Permissions-Policy kamera, mikrofon va geolocation kabi imkoniyatlarni originlar kesimida cheklaydi. Sarlavhalar avtomatik skaner bilan emas, ilova funksiyalari va brauzer qo‘llovi bilan sinovdan o‘tkaziladi.

Hayot sikli va kuzatuv

Dependencylar lock file bilan boshqariladi, zaif versiyalar va supply-chain o‘zgarishlari kuzatiladi. Threat modeling data flow va trust boundarylarni dizayn bosqichida ko‘rsatadi. Code review, SAST, DAST va penetration test turli xato sinflarini topadi; ularning hech biri yakka holda to‘liq kafolat emas.

Production loglarida authentication xatosi, access rad etilishi, rate limit va muhim o‘zgarishlar qayd etiladi, ammo parol, token va shaxsiy ma’lumot maskalanadi. Incident response sessiyalarni bekor qilish, kalitlarni almashtirish, zaiflikni tuzatish va dalillarni saqlash jarayonini belgilaydi. Backup tiklash sinovi ransomware va xato deploydan keyingi mavjudlikni ta’minlashning bir qismidir.

Bog‘liq tushunchalar

Same-origin policy, XSS, CSRF, SQL injection, Content Security Policy, Authentication, Authorization