Znaczenie stosu technologicznego dla bezpieczeństwa
🎯 Cel rozdziału
Zrozumienie, jak wybór technologii frontendowych i backendowych wpływa na bezpieczeństwo aplikacji. Każdy komponent stacku niesie za sobą potencjalne ryzyka, znane podatności i specyficzne mechanizmy ataku.
⚠️ Dlaczego stack ma znaczenie?
- Każda technologia ma historię luk bezpieczeństwa (CVE).
- Niektóre technologie wymagają ręcznej konfiguracji zabezpieczeń.
- Nieaktualne biblioteki i frameworki = gotowy cel.
- Stack wpływa na:
- sposób uwierzytelniania,
- zarządzanie sesją,
- domyślne nagłówki,
- polityki CORS, CSP, itp.
🧱 Typowe profile ryzyka – przykłady
| Technologia | Potencjalne zagrożenia |
|---|---|
| WordPress (PHP) | Znane CVE w pluginach, brak kontroli dostępu, podatne API. |
| React | Ataki typu XSS w JSX bez dangerouslySetInnerHTML, błędne walidacje. |
| Angular | Domyślne mechanizmy chronią przed XSS, ale podatność na błędne CORS. |
| Node.js | SSRF, deserialization, brak ograniczeń pamięci, npm supply chain. |
| Spring Boot (Java) | Problemy z exposowanymi endpointami actuator, RCE. |
🧠 Stack vs typy ataków
| Typ ataku | Gdzie występuje najczęściej |
|---|---|
| XSS | Frameworki frontendowe i CMS-y |
| CSRF | Backend bez tokenów CSRF, API bez CORS |
| SSRF | Aplikacje z możliwością wczytywania URLi (Node, Python) |
| IDOR / Bypass ACL | API RESTowe bez kontroli poziomu zasobów |
| Insecure Deserialization | Java, PHP, .NET, Python (pickle, YAML) |
🛠️ Jak analizować ryzyko stacku?
- Sprawdź wersje komponentów (
/package.json,composer.json, nagłówki). - Przeskanuj zależności (
npm audit,pip-audit,OWASP Dependency-Check). - Zidentyfikuj domyślne zachowania i skonfiguruj je bezpiecznie.
- Przejrzyj listę znanych podatności (CVE, GitHub Security Advisories).
- Zastosuj zasadę hardeningu:
- wyłącz debug mode,
- zablokuj endpointy testowe,
- ustaw bezpieczne nagłówki.
📌 Podsumowanie
Nie ma czegoś takiego jak "neutralny stack". Każda technologia wymaga znajomości jej słabości i świadomego zabezpieczenia. Znajomość stacku to Twój radar zagrożeń.
W następnym rozdziale przejdziemy do testowania konkretnych podatności OWASP Top 10 2025, zaczynając od Broken Access Control.