Un punto de entrada típico es cuando un actor malicioso compromete un servicio de terceros que usa tu sitio web. Este es el proceso: tu servidor envía la página web, y tu navegador solicita cientos de recursos externos como scripts de analítica, herramientas de marketing y procesadores de pagos. Entonces, un atacante puede interceptar solo una de estas solicitudes e inyectar código malicioso en lugar del script legítimo.
Los scripts maliciosos también pueden inyectarse a través de anuncios, las redes de anuncios son esencialmente redes de distribución JS de alquiler. Un script en una red de anuncios puede robar información de tarjetas de crédito y tomar tokens sensibles como tokens de sesión. Por lo tanto, si tienes páginas web donde los anuncios y los pagos se cruzan, es mejor ser extra cuidadoso e implementar una seguridad del lado del cliente estricta.
Comprometer un servicio de terceros del que depende tu sitio web es una forma común en que los atacantes logran entrar.
Los firewalls, WAFs y escáneres de vulnerabilidades son herramientas de seguridad tradicionales utilizadas para proteger tu servidor, pero no pueden ver qué está pasando en los navegadores de tus usuarios.
La seguridad del lado del servidor protege tu infraestructura, mientras que la seguridad del lado del cliente se enfoca en donde tu aplicación realmente se ejecuta, dentro de los navegadores de tus usuarios.
La seguridad del lado del cliente es un subconjunto crítico de AppSec que se enfoca en proteger aplicaciones donde realmente se ejecutan—en los navegadores de los usuarios.