Un point d'entrée typique est lorsqu'un acteur malveillant compromet un service tiers utilisé par votre site web. Voici le processus : votre serveur envoie la page web, et votre navigateur demande des centaines de ressources externes comme des scripts d'analytique, des outils marketing et des processeurs de paiement. Ensuite, un attaquant peut intercepter une seule de ces requêtes et injecter du code malveillant à la place du script légitime.
Les scripts malveillants peuvent également être injectés via des publicités, les réseaux publicitaires étant essentiellement des réseaux de distribution JS à louer. Un script sur un réseau publicitaire peut voler des informations de carte de crédit et prendre des jetons sensibles comme les jetons de session. Par conséquent, si vous avez des pages web où publicités et paiements se croisent, il est préférable d'être très prudent et d'implémenter une sécurité côté client stricte.
Compromettre un service tiers sur lequel votre site web repose est une méthode courante par laquelle les attaquants s'introduisent.
Les pare-feu, les WAF et les scanners de vulnérabilités sont des outils de sécurité traditionnels pour protéger vos serveurs, mais ils ne peuvent pas voir ce qui se passe dans les navigateurs de vos utilisateurs.
La sécurité côté serveur protège votre infrastructure, tandis que la sécurité côté client se concentre sur l'endroit où votre application s'exécute réellement, dans les navigateurs de vos utilisateurs.
La sécurité côté client est un sous-ensemble critique de l'AppSec qui se concentre sur la protection des applications là où elles s'exécutent réellement — dans les navigateurs des utilisateurs.