Raptoric Journal/Aplikacije i cloud
Aplikacije i cloud15. lipnja 2026. · 12 min čitanja

Sigurnost web aplikacija: kako zaštititi aplikaciju

Web aplikacija je najizloženiji dio većine tvrtki. Evo koji su glavni rizici, kako ih smanjiti i zašto sigurnost mora biti dio razvoja, a ne naknadna provjera.
Razvojni inženjer testira web aplikaciju i pregledava sigurnosne nalaze na radnoj stanici.
Autor
LH
Lovro Heruc
Ofenzivna sigurnost, aplikacije i detekcija
Podijelite
LinkedInX / TwitterCopy link

Web aplikacija je za većinu tvrtki najizloženiji dio sustava. Dostupna je s interneta svima, pa je i prva meta napadača. Za razliku od interne mreže, web aplikaciju ne štiti vatrozid od vanjskog pristupa: ona postoji upravo zato da bude javno dostupna. Zato sigurnost web aplikacija zaslužuje posebnu pažnju. Ovaj tekst objašnjava glavne rizike, kako ih smanjiti i zašto sigurnost mora biti dio razvoja.

Ovo je dio našeg pregleda sigurnosti aplikacija. Testiranje i jačanje web aplikacija pružamo kroz sigurnost aplikacija i clouda i ofenzivnu sigurnost.

Zašto su web aplikacije posebno izložene

Web aplikacija mora biti dostupna korisnicima, što znači da je dostupna i napadačima. Svaki obrazac, polje za pretragu ili API poziv potencijalni je ulaz. Napadač ne mora probiti mrežu ni ukrasti uređaj: dovoljno je da nađe propust u samoj aplikaciji. Zbog toga su web aplikacije godinama među najčešćim uzrocima curenja podataka.

Glavni rizici

Većina napada na web aplikacije svodi se na nekoliko ponavljajućih obrazaca, sažetih u OWASP Top 10.1

  • Slaba kontrola pristupa, gdje korisnik dohvaća tuđe podatke ili radnje.
  • Injekcija, gdje nepouzdani unos mijenja upit prema bazi ili sustavu.
  • Slaba autentifikacija i upravljanje sesijama, što omogućuje preuzimanje računa.
  • Pogrešna konfiguracija poslužitelja, okvira ili baze podataka.
  • Zastarjele komponente s poznatim, javno objavljenim ranjivostima.

Kako smanjiti rizik

Sigurna web aplikacija rezultat je niza praksi, ne jednog alata.

  1. 01
    Provjeravajte unos i izlaz
    Tretirajte svaki vanjski unos kao nepouzdan i pravilno ga obrađujte.
  2. 02
    Kontrolirajte pristup pri svakoj radnji
    Provjeravajte ovlasti na poslužitelju, ne samo u sučelju.
  3. 03
    Učvrstite autentifikaciju
    Uvedite snažne lozinke i dvofaktorsku autentifikaciju.
  4. 04
    Održavajte komponente
    Redovito ažurirajte okvire i knjižnice te pratite poznate ranjivosti.
  5. 05
    Testirajte redovito
    Kombinirajte automatsko skeniranje i ručno penetracijsko testiranje.

Sigurnost kao dio razvoja

Najčešća greška je tretirati sigurnost kao provjeru pred samo lansiranje. Tada je kasno: propusti su već ugrađeni u arhitekturu, a ispravak je skup. Sigurnost ugrađena u razvoj, pristup poznat kao DevSecOps, znači razmišljanje o prijetnjama od dizajna i provjere kroz cijeli razvojni ciklus. To je jeftinije i učinkovitije od naknadnog krpanja.

Uloga penetracijskog testiranja

Automatski alati hvataju dio propusta, ali greške u logici i kontroli pristupa traže ljudsku procjenu. Zato je penetracijsko testiranje web aplikacije ključno: tester nastupa kao napadač i otkriva propuste prije nego ih iskoristi netko sa zlom namjerom. Test vrijedi ponoviti nakon većih promjena aplikacije.

Kako Raptoric pomaže

Testiramo i jačamo web aplikacije te pomažemo timovima ugraditi sigurnost u razvoj, kroz sigurnost aplikacija i clouda. Dogovorite uvodni razgovor.

Česta pitanja

Zašto su web aplikacije češća meta od interne mreže?
Jer su javno dostupne s interneta. Napadač ne mora probiti mrežu ni ukrasti uređaj, dovoljno je da nađe propust u samoj aplikaciji. Zbog toga su među najčešćim uzrocima curenja podataka.
Je li dovoljno skenirati aplikaciju automatskim alatom?
Nije. Skeneri hvataju dio propusta, ali greške u logici i kontroli pristupa traže ručno penetracijsko testiranje koje razumije kako aplikacija radi.
Kada treba misliti na sigurnost aplikacije?
Od početka razvoja, ne pred lansiranje. Propusti ugrađeni u arhitekturu skupi su za ispravak kasnije. Sigurnost ugrađena u razvoj je jeftinija i učinkovitija.
Koliko često testirati web aplikaciju?
Barem jednom godišnje i nakon svake veće promjene. Nove funkcije i izmjene mogu uvesti nove propuste, pa jednokratni test pred lansiranje nije dovoljan.

Izvori

  1. 1OWASP. OWASP Top 10. Open Worldwide Application Security Project, 2021. Poveznica
  2. 2NIST. SP 800-218: Secure Software Development Framework (SSDF). National Institute of Standards and Technology, 2022. Poveznica
Želite li ovakvu provjeru na vlastitim sustavima?
Naš tim definirat će opseg posla s vama u 30-minutnom razgovoru.
Dogovorite razgovor
Nastavite čitati
Svi tekstovi →