Десять основных проблем аудита безопасности Laravel

С начала 2022 года я проводил аудиты безопасности и тесты на проникновение для Laravel приложений. Я проверял приложения всех размеров, от крошечных приложений с несколькими контроллерами до огромных приложений с множеством модулей и множеством различных стилей кодирования и структур приложений.

Среди всего этого была довольно чёткая тенденция верная для приложений, которые я проверял: Laravel довольно безопасен, но легко упустить из виду мелочи, дополнительные уровни защиты и оставить где-то скрытую уязвимость.

На самом деле, будет справедливо сказать, что подавляющее большинство проблем, обнаруженных во время аудитов, были чем-то простым, что было упущено из виду в одном маршруте, либо дополнительными уровнями безопасности, о которых разработчики либо не знали, либо им было неудобно их реализовывать.

Итак, давайте углубимся в это и рассмотрим 10 самых распространённых проблем безопасности, которые я обнаружил во время аудита безопасности.