📄️ Porušení access controls
Access controls (autorizace) zaručuje, že uživatel nepřekročí nastavená oprávnění. Porušení access controls je nejčastější zranitelností aplikací a pojí se s dalekosáhlými následky - od úniku dat po ztráty na lidských životech.
📄️ Kryptografická selhání
Citlivé a osobní údaje je potřeba vhodně zabezpečit pomocí kryptografie. Často se však stává, že tato data nejsou dobře identifikována a tudíž ani zabezpečena. To vede k úniku dat jako jsou hesla, zdravotní záznamy nebo osobní a obchodní údaje.
📄️ Injection
Injection útoky mohou vést ke čtení, změně nebo odstranění dat. Častým důvodem bývá nedostatečná validace vstupních dat a neparametrizovaná query volání. Nejčastější formy injection jsou SQL, NoSQL, ORM nebo LDAP.
📄️ Neúčinný návrh architektury
Jedním z faktorů neúčinného návrhu softwarové architektury je nedostatečné modelování a profilování rizik. Díky tomu není možné vyjádřit úroveň zabezpečení, která je pro aplikaci nutná. Nezabezpečený návrh nelze opravit dokonalou implementací.
📄️ Chybné nastavení zabezpečení
Mezi chybné nastavení zabezpečení patří špatná konfigurace cloudové služby, výchozí účty a hesla jsou aktivní a nezměněná, error zprávy zobrazují stack trace atd. Tato zranitelnost vede ke zneužití systému nebo otevírá dveře jiným útokům.
📄️ Zranitelné a zastaralé komponenty
Aplikace často používají komponenty třetích stran, které se neaktualizují na pravidelné bázi. Komponenty jsou zastaralé, neudržované a zranitelné, čímž do aplikace vnáší značné bezpečnostní riziko.
📄️ Selhání identifikace a autentizace
Autentizace potvrzuje identitu uživatele. Slabiny mohou nastat, pokud aplikace umožňuje automatizované útoky, útoky hrubou silou nebo používá slabé a neúčinné procesy obnovy credentials a zapomenutých hesel.
📄️ Selhání softwaru a integrity dat
Zranitelnost souvisí s kódem a infrastrukturou, které nechrání před porušením integrity. Mnoho aplikací automaticky aktualizuje software, ale aktualizace jsou stahovány bez dostatečného ověřen�í integrity.
📄️ Selhání logování a monitorování
Cílem logování a monitorování je odhalení, eskalace a reakce na narušení systému. Bez logování a monitorování nelze toto narušení odhalit. Zranitelnosti mohou mít dopad na odpovědnost, viditelnost, upozorňování na incidenty a forenzní analýzu.
📄️ Server-Side Request Forgery (SSRF)
K SSRF dochází vždy, když webová aplikace načítá vzdálený prostředek bez ověření uživatelem zadané URL adresy. Útočník může aplikaci přimět k odeslání požadavku na neočekávaný cíl, a to i v případě, že je stránka chráněna firewallem, VPN nebo jiným typem ACL.