Издание eSecurityPlanet.com опубликовало список десяти наиболее опасных брешей в веб приложениях 2004 года, составленный Web Application Security Project (OWASP).
Список OWASP называет следующие бреши:
- Ввод неверных данных. Атакующий может ввести данные, не предусмотренные программой для получения доступа к внутренним компонентам.
- Нарушение контроля доступа. Неправильное применение ограничений для аутентифицированных пользователей может привести к предоставлению атакующим доступа к чужим учетным записям и возможности выполнения запрещенных для них функций.
- Нарушения в управлении аутентификацией и сессиями. Данные учетных записей и сессий не защищаются должным образом, позволяя атакующим узнать пароли, ключи, данные сессий и получить такую информацию о других пользователях.
- Межсайтовые скрипты. Позволяет использовать веб приложения для атаки браузера конечного пользователя, что ведет к раскрытию данных сессии конечного пользователя или к подмене содержимого для обмана его.
- Переполнение буфера. Компоненты веб приложений, которые написаны на языках, неверно определяющих введенные данные, могут выйти из строя и в некоторых случаях могут быть использованы для получения контроля.
- Вставка кода. Веб приложения передают параметры при получении доступа к внешним системам или локальной ОС. Если в эти параметры встроены вредоносные команды, то внешняя система может выполнить их от имени веб приложения.
- Неверная обработка ошибок. Это может привести к получению атакующими подробной системной информации или вызвать отказ от обслуживания.
- Незащищенное хранение. Веб приложения, использующие криптографию для защиты информации, показали неутешающие результаты при шифровании, что ведет к ослаблению защиты.
- Отказ в обслуживании. Как уже было замечено, злоумышленники истощают ресурсы веб приложений до такой степени, что обычные пользователи уже не могут пользоваться соответствующими приложениями. Кроме того, злоумышленники могут заблокировать учетные записи пользователей или вызвать ошибки приложений.
- Небезопасные настройки. Поддержание жесткого стандарта настроек является необходимым.
