Compromettre un service tiers sur lequel votre site web repose est une méthode courante par laquelle les attaquants s'introduisent. Typiquement, votre serveur délivre une page web, et votre navigateur charge des dizaines, voire des centaines de sources externes telles que des scripts d'analytique, des outils marketing et des processeurs de paiement. Un seul de ces éléments doit être intercepté par un attaquant pour remplacer un script légitime par du code malveillant.
Les attaques Cross-Site Scripting (XSS) sont un exemple d'exécutions malveillantes côté client. Une fois en place, les informations de carte de crédit et les jetons de session peuvent être capturés, ou les utilisateurs peuvent être redirigés vers de faux sites web. Les utilisateurs ne remarqueront pas ces actions, et elles peuvent passer inaperçues des outils de sécurité traditionnels.
Les pare-feu, les WAF et les scanners de vulnérabilités sont des outils de sécurité traditionnels pour protéger vos serveurs, mais ils ne peuvent pas voir ce qui se passe dans les navigateurs de vos utilisateurs.
La sécurité côté serveur protège votre infrastructure, tandis que la sécurité côté client se concentre sur l'endroit où votre application s'exécute réellement, dans les navigateurs de vos utilisateurs.
La sécurité côté client est un sous-ensemble critique de l'AppSec qui se concentre sur la protection des applications là où elles s'exécutent réellement — dans les navigateurs des utilisateurs.
Protéger les visiteurs de votre site web contre les attaques JavaScript malveillantes qui se produisent dans leurs navigateurs est l'objectif de la sécurité côté client.