Comprometer um serviço de terceiros no qual seu site depende é uma maneira comum de atacantes entrarem. Tipicamente, seu servidor entrega uma página web e seu navegador carrega dezenas ou até centenas de fontes externas como scripts de analytics, ferramentas de marketing e processadores de pagamento. Apenas um deles precisa ser interceptado por um atacante para substituir um script legítimo por código malicioso.
Ataques Cross-Site Scripting (XSS) são um exemplo de execuções maliciosas client-side. Uma vez instalados, informações de cartão de crédito e tokens de sessão podem ser capturados ou redirecionar usuários para sites falsos. Os usuários não perceberão isso, e eles podem passar despercebidos por ferramentas de segurança tradicionais.
Firewalls, WAFs e scanners de vulnerabilidade são ferramentas de segurança tradicionais usadas para proteger seu servidor, mas não conseguem ver o que está acontecendo nos navegadores dos seus usuários.
Segurança server-side protege sua infraestrutura, enquanto segurança client-side foca onde sua aplicação realmente executa, dentro dos navegadores dos seus usuários.
Segurança client-side é um subconjunto crítico de AppSec que foca em proteger aplicações onde elas realmente executam - nos navegadores dos usuários.
Proteger os visitantes do seu site contra ataques maliciosos de JavaScript que acontecem nos navegadores deles é o objetivo da segurança client-side.