Риски безопасности SSR/RSC и примеры их митигации
ChuvikinAN 13 минут назад Риски безопасности SSR/RSC и примеры их митигации Средний 18 мин 368 Блог компании OWASP Кейс Привет, Хабр! Меня зовут Артем Чувикин, я технический аккаунт-менеджер в NGENIX и не так давно я...
Anthropic — What company has the best second artificial intelligence model at the end of June?
Вот важная новость с фронта ИИ: ChuvikinAN 13 минут назад Риски безопасности SSR/RSC и примеры их митигации Средний 18 мин 368 Блог компании OWASP Кейс Привет, Хабр! Меня зовут Артем Чувикин, я технический аккаунт-менеджер в NGENIX и не так давно я выступал в рамках OWASP Security meetup с докладом про риски безопасности, которые появляются при использовании серверного и серверных компонент. Разбирал подробнее недавнюю уязвимость react2shell и меры митигации, которые предлагались для этой уязвимости.
Сама статья – саммари моего выступления на OWASP Russia Meetup 2026. Я расскажу об основных подходах к рендерингу в современных React-приложениях, о рисках безопасности при переносе логики на сервер, а также о критической уязвимости react2shell, затронувшей экосистему React Server Components. В этой статье риски и угрозы будут рассмотрены на примере next.
Технические детали
js - ведущим фреймворком в области ssr и в особенности инструментом, который позволяет использовать rsс. Сам доклад я поделил на несколько частей:1. Особенность фулл-стек фреймворков на примере next.
Верхнеуровнево пройдемся по технологиям, которые там используются. Рассмотрим недавнюю уязвимость в этом фреймворке - ract2shell. И также я хотел рассмотреть меры защиты, которые мне удалось найти и протестировать.
Преимущественно это касается рекомендаций по защите на WAF. Если ещё несколько лет назад основным подходом был клиентский рендеринг в SPA, то сегодня многие проекты на React и Next. js используют Server-Side Rendering (SSR), React Server Components (RSC) и Server Actions.
Отраслевые последствия
Это позволяет ускорить загрузку страниц, улучшить SEO-показатели и снизить нагрузку на браузер пользователя. Однако вместе с преимуществами появляются и новые риски. Чем больше логики выполняется на сервере, тем шире становится поверхность атаки.
Кроме привычных для веб-приложений XSS, SSRF или инъекций возникают специфические угрозы, связанные с особенностями работы React Server Components, Flight Protocol и Server Actions. Фуллстек сервер на next. js React уже давно занимает позицию лидера среди библиотек для создания пользовательских интерфейсов.
Но для построения полноценного, оптимизированного приложения одного React часто недостаточно. Здесь мы обращаемся к react-фреймворкам, которые дают дополнительные возможности работы с экосистемой реакт. Одним из таких фреймворков является продукт компании Vercel - Next.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
