Het compromitteren van een third-party dienst waarvan je website afhankelijk is, is een veelvoorkomende manier waarop aanvallers binnenkomen. Doorgaans levert je server een webpagina, en laadt je browser tientallen of zelfs honderden externe bronnen zoals analytics-scripts, marketingtools en betalingsverwerkers. Slechts één hiervan hoeft te worden onderschept door een aanvaller om een legitiem script te vervangen door kwaadaardige code.
Cross-Site Scripting (XSS)-aanvallen zijn een voorbeeld van kwaadaardige client-side uitvoeringen. Eenmaal geïmplementeerd kunnen creditcardinformatie en sessietokens worden vastgelegd, of kunnen gebruikers worden doorgestuurd naar valse websites. Gebruikers zullen dit niet opmerken, en het kan onopgemerkt blijven door traditionele beveiligingstools.
Waarom kunnen traditionele beveiligingstools client-side bedreigingen niet detecteren?
Firewalls, WAFs en kwetsbaarhedenscanners zijn traditionele beveiligingstools die worden gebruikt om je server te beschermen, maar ze kunnen niet zien wat er in de browsers van je gebruikers gebeurt.
Wat is het verschil tussen client-side beveiliging en server-side beveiliging?
Server-side beveiliging beschermt je infrastructuur, terwijl client-side beveiliging zich richt op waar je applicatie daadwerkelijk draait, in de browsers van je gebruikers.
Wat is het verschil tussen client-side beveiliging en applicatiebeveiliging?
Client-side beveiliging is een kritieke subset van AppSec die zich richt op het beschermen van applicaties waar ze daadwerkelijk worden uitgevoerd – in de browsers van gebruikers.
Wat is client-side beveiliging en waarom heb ik het nodig?
Het beschermen van je websitebezoekers tegen kwaadaardige JavaScript-aanvallen die in hun browsers plaatsvinden is het doel van client-side beveiliging.