SQL Injection, XSS и CSRF — классические примеры уязвимостей, которые до сих пор регулярно встречаются в реальных продуктах. QA не обязан эксплуатировать их как security researcher, но должен понимать их природу и сигналы риска.
SQL Injection
Возникает, когда пользовательский ввод попадает в SQL-запрос небезопасным способом. Риск особенно высок в search, filters, admin forms и legacy endpoints.
XSS
Позволяет внедрить и выполнить вредоносный скрипт в контексте страницы. Часто связан с некорректным отображением пользовательского контента или unsafe HTML rendering.
CSRF
Заставляет авторизованного пользователя выполнить нежелательное действие, если защита запроса построена слабо. Особенно критично для state-changing операций.
Что полезно QA
- →Знать типовые зоны риска и сигналы небезопасной реализации.
- →Понимать, почему “фильтрация на UI” не является защитой.
- →Замечать небезопасные ошибки, параметры и обработку пользовательского ввода.
Даже базовое понимание этих уязвимостей сильно повышает качество критического мышления QA в web- и API-проверках.