Een typisch toegangspunt is wanneer een kwaadwillende actor een third-party dienst compromitteert die je website gebruikt. Dit is het proces: je server stuurt de webpagina en je browser vraagt honderden externe bronnen op zoals analytics-scripts, marketingtools en betalingsverwerkers. Vervolgens kan een aanvaller slechts één van deze verzoeken onderscheppen en kwaadaardige code injecteren in plaats van het legitieme script.
Kwaadaardige scripts kunnen ook worden geïnjecteerd via advertenties, advertentienetwerken zijn in wezen JS-distributienetwerken te huur. Een script op een advertentienetwerk kan creditcardinformatie stelen en gevoelige tokens zoals sessietokens overnemen. Daarom is het het beste om extra voorzichtig te zijn en strikte client-side beveiliging te implementeren als je webpagina's hebt waar advertenties en betalingen kruisen.
Het compromitteren van een third-party dienst waarvan je website afhankelijk is, is een veelvoorkomende manier waarop aanvallers binnenkomen.
Firewalls, WAFs en kwetsbaarhedenscanners zijn traditionele beveiligingstools die worden gebruikt om je server te beschermen, maar ze kunnen niet zien wat er in de browsers van je gebruikers gebeurt.
Server-side beveiliging beschermt je infrastructuur, terwijl client-side beveiliging zich richt op waar je applicatie daadwerkelijk draait, in de browsers van je gebruikers.
Client-side beveiliging is een kritieke subset van AppSec die zich richt op het beschermen van applicaties waar ze daadwerkelijk worden uitgevoerd – in de browsers van gebruikers.