Comprometer un servicio de terceros del que depende tu sitio web es una forma común en que los atacantes logran entrar. Normalmente, tu servidor entrega una página web, y tu navegador carga docenas o incluso cientos de fuentes externas como scripts de analítica, herramientas de marketing y procesadores de pagos. Solo uno de estos necesita ser interceptado por un atacante para reemplazar un script legítimo con código malicioso.
Los ataques Cross-Site Scripting (XSS) son un ejemplo de ejecuciones maliciosas del lado del cliente. Una vez implementados, la información de tarjetas de crédito y los tokens de sesión pueden ser capturados, o los usuarios pueden ser redirigidos a sitios web falsos. Los usuarios no notarán estas acciones, y pueden pasar desapercibidas por las herramientas de seguridad tradicionales.
Los firewalls, WAFs y escáneres de vulnerabilidades son herramientas de seguridad tradicionales utilizadas para proteger tu servidor, pero no pueden ver qué está pasando en los navegadores de tus usuarios.
La seguridad del lado del servidor protege tu infraestructura, mientras que la seguridad del lado del cliente se enfoca en donde tu aplicación realmente se ejecuta, dentro de los navegadores de tus usuarios.
La seguridad del lado del cliente es un subconjunto crítico de AppSec que se enfoca en proteger aplicaciones donde realmente se ejecutan—en los navegadores de los usuarios.
Proteger a los visitantes de tu sitio web de ataques JavaScript maliciosos que ocurren en sus navegadores es el objetivo de la seguridad del lado del cliente.