Статья

В статье проведено исследование инъекционных уязвимостей в веб-приложениях, построенных на асинхронном фреймворке FastAPI. Несмотря на встроенную поддержку валидации данных и автоматической генерации документации, FastAPI не гарантирует защиту от SQL-инъекций, NoSQL-инъекций и внедрения шаблонов на стороне сервера (SSTI). Целью работы является выявление и классификация типичных ошибок разработки, приводящих к возникновению указанных уязвимостей. Для достижения цели разработана методика динамического тестирования, включающая создание специализированного сканера, адаптированного под архитектуру FastAPI. Экспериментально подтверждена эффективность предложенного подхода по сравнению с существующими инструментами анализа (Bandit, SQLMap, OWASP ZAP). Полученные результаты демонстрируют необходимость применения фреймворк-специфичных методов обеспечения безопасности даже при использовании современных средств автоматической валидации.