OWASP Top 10 je redovno ažuriran načini na koji hakeri mogu da naruše bezbednost vaše veb aplikacija, fokusirajući se na 10 najkritičnijih rizika.
Inekcione napade se dešavaju kada se nepoverljivi podaci šalju interpreteru koda putem unosnog polja forme ili nekog drugog načina slanja podataka veb aplikaciji. Na primer, napadač može uneti SQL kod baze podataka u formu koja očekuje plaintext korisničko ime.
Ranjivosti u sistemima za autentifikaciju (prijavljivanje) mogu omogućiti napadačima pristup korisničkim nalozima, pa čak i sposobnost ugrožavanja celog sistema putem administratorskog naloga. Na primer, napadač može koristiti listu koja sadrži hiljade poznatih kombinacija korisničkih imena/lozinki dobijenih tokom curenja podataka i koristiti skriptu kako bi isprobao sve te kombinacije na sistemu za prijavljivanje kako bi video da li neka od njih funkcioniše.
Ako veb aplikacije ne štite osetljive podatke poput finansijskih informacija i lozinki, napadači mogu dobiti pristup tim podacima i prodati ih ili ih iskoristiti u zlonamerne svrhe. Jedan od popularnih metoda za krađu osetljivih informacija je korišćenje napada na putanju (on-path attack).
Ovo je napad na veb aplikaciju koja analizira XML* unos. Ovaj unos može referencirati spoljni entitet, pokušavajući iskoristiti ranjivost u parseru. 'Spoljni entitet' u ovom kontekstu odnosi se na skladišni uređaj, poput hard diska. XML parser može biti prevaran da šalje podatke neovlašćenom spoljnom entitetu, koji može direktno proslediti osetljive podatke napadaču.
Pristupna kontrola se odnosi na sistem koji kontroliše pristup informacijama ili funkcionalnostima. Oštećene pristupne kontrole omogućavaju napadačima da zaobiđu autorizaciju i izvršavaju zadatke kao da su privilegovani korisnici, kao što su administratori.
Bezbednosna konfiguracija je najčešća ranjivost na listi i često je rezultat korišćenja podrazumevanih postavki ili prikazivanja izuzetno opsežnih grešaka. Na primer, aplikacija može prikazati korisniku izuzetno opisne greške koje mogu otkriti ranjivosti u aplikaciji.
Cross-site skriptovanja javljaju se kada veb aplikacije dozvoljavaju korisnicima da dodaju prilagođeni kod u putanju URL-a ili na veb stranicu koji će biti viđen od strane drugih korisnika. Ova ranjivost može biti iskorišćena kako bi se izvršio zlonamerni JavaScript kod na browseru žrtve.
Ova pretnja cilja mnoge veb aplikacije koje često vrše serijalizaciju i deserijalizaciju podataka. Serijalizacija podrazumeva uzimanje objekata iz koda aplikacije i pretvaranje ih u format koji može biti korišćen u druge svrhe, kao što je čuvanje podataka na disku ili strimovanje.
Jedne od najpoznatijih metoda koje se koriste kada se radi penetration testing.
Grupa sajber kriminalaca koja se nazivaju crno odelo odgovorni za napade u Gruziji.
U zadnje vreme se povećava broj ransomware napada i nažalost kompanije prave velike greške.