Um ponto de entrada típico é quando um ator malicioso compromete um serviço de terceiros que seu site utiliza. O processo funciona assim: seu servidor envia a página web e seu navegador solicita centenas de recursos externos como scripts de analytics, ferramentas de marketing e processadores de pagamento. Então, um atacante pode interceptar apenas uma dessas requisições e injetar código malicioso no lugar do script legítimo.
Scripts maliciosos também podem ser injetados através de anúncios, redes de anúncios são essencialmente redes de distribuição de JS para locação. Um script em uma rede de anúncios pode roubar informações de cartão de crédito e capturar tokens sensíveis como tokens de sessão. Portanto, se você tem páginas web onde anúncios e pagamentos se cruzam, é melhor ter cuidado extra e implementar uma segurança client-side rigorosa.
Comprometer um serviço de terceiros que seu site utiliza é uma maneira comum de atacantes entrarem.
Firewalls, WAFs e scanners de vulnerabilidade são ferramentas de segurança tradicionais usadas para proteger seu servidor, mas não conseguem ver o que está acontecendo nos navegadores dos seus usuários.
Segurança server-side protege sua infraestrutura, enquanto segurança client-side foca onde sua aplicação realmente executa, dentro dos navegadores dos seus usuários.
Segurança client-side é um subconjunto crítico de AppSec que foca em proteger aplicações onde elas realmente executam - nos navegadores dos usuários.