SQL Injection
As ocorrências desse tipo de ataque são baixa, pelo fato da SQL Injection ser uma tarefa simples, mas é fundamental ficar em alerta. Caso aconteça de um invasor consiga fazer o uso do SQL Injection, ele pode causar sérios danos aos bancos de dados, muitas vezes irreparáveis.
Cross-site Scipting
O Cross-site Scripting conhecido também como XSS, acontece quando o invasor explora uma área de um site que possui conteúdo dinâmico. O invasor consegue rodar seu código dentro do site da vítima, assim, causando o roubo de contas de usuários, controle do navegador da vítima e muito mais. Esse ataque é muito comum em formulários de contato que permitem a inserção de caracteres usando em linguagens de programação como pontos de interrogação ou barras.
PHP Injection
É um tipo de ataque onde o atacante usa um script PHP para atacar uma aplicação escrita em PHP, geralmente, essa forma de ataque se consolida quando o desenvolvedor deixar algumas brechas em formulários de upload, Por exemplo, a pessoa mal-intencionada pode enviar um script PHP através desse formulário e, em seguida, executá-lo.
O resultado poderá ser desastroso se o atacante conseguir listar diretórios, deletar arquivos, roubar dados sensíveis, etc…
Send assim, PHP Injection não tem relação com SQL Injection, como alguns haviam apontado nos comentários anteriores
Cross-site request forgery
O cross-site request forgery ou CSRF, no português é falsificação de solicitação entre sites, é um tipo de exploit malicioso de um website, no qual os comandos não autorizados são transmitidos a partir de um usuário em que a aplicação web confia, existem varias formas em que um site web malicioso pode transmitir tais comandos, tags de imagem especialmente criada, formulários ocultos e XMLHttpRequests de JavaScript, por exemplo, podem funcionar sem a interação do usuário ou mesmo seu conhecimento. Diferente do cross-site scripting (XSS), que explora a confiança que um usuário tem para um site específico, o CSRF explora a confiança que um site tem no navegador de um usuário.
Buffer Overflow
Isso acontece quando um programa informático excede o uso de memória as signado a ele pelo sistema operacional, passando então a escrever no setor de memória contíguo, e essas falhas são usadas por cibercriminosos para executar códigos arbitrários em um computador, o que da a possibilidade de muitas vezes os atacantes controlarem o computador da vítima ou executar um ataque de negação de serviço DDoS.
Exposição de dados sensíveis
Varias aplicações web não se protegem da forma correta os dados confidenciais, como dados financeiros. Os atacantes podem roubar ou modificar esses dados deficientemente protegidos, para conduzir fraudes em cartões de créditos, roubar identidades ou outros crimes. Dados sensíveis devem possuir uma proteção extra, como uma criptografia.
Por exemplo, se você está dentro de um lanchonete utilizando um sistema de pagamentos que não possui criptografia HTTPS, e digitou as informações do seu cartão de crédito para realizar uma compra, um atacante mal-intencionado, utilizando aplicações de análise de tráfego pode capturar as informações, outro ponto bastante comum é que um invasor obtendo acesso ao mesmo sistema através do item, pode obter todas as informações dos cartões de créditos já utilizados no sistema, caso não possua um tipo de criptografia.
Acesso a diretórios restritos
O acesso a diretórios restritos por parte de terceiros é um problema grande, pois não precisa de muito conhecimento do invasor. Qualquer um com um pouco de estudo da estrutura dos navegadores, pode aproveitar dessa brecha de sites desprotegidos, conseguindo acesso a um grande número de arquivos de sistema, tendo acesso a nome de usuários, senhas, documentos importantes e até mesmo o código fonte do site/aplicativo. O ideal é consultar um especialista em TI para verificar se seu site não apresenta esta brecha de segurança.
Vazamento de informações sigilosas
O vazamento de informações sigilosas pode acontecer de varias maneiras, mas o foco aqui é só um, quando invasores conseguem ter acesso aos dados que não deveriam estar disponíveis, aí eles sabem que tem carta branca para fazer bagunça nos sistemas, como usar uma “Injection” no código, se aproveitar de instâncias, ou simplesmente roubar informação de usuários. Dessa forma, preste bastante atenção a este detalhe, deixe seus funcionários cientes em relação a Segurança da Informação do seu negócio.
Problemas na qualidade do código
Esse é o erro principal pela seguinte razão, as todas as indústrias que participaram de um estudo realizado pela Veracode, admitiram que pelo menos metade de seus aplicativos já foram prejudicados por conta de códigos mal elaborados. Isso chama a atenção das empresas para elas adotarem mais rigor em relação a práticas adequadas de programação, se possível aproveitando ao máximo corretores automáticos para evitar erros nos códigos.
CRLF Injection
Pode ser chamada de a porta de entrada para códigos maliciosos. É necessário apenas colocar o final de comandos nos lugares adequados, para que o invasor possa ter a possibilidade de fazer o que bem entender de acordo com a Veracode. Isso inclui: tirar páginas do ar, Cross-site scripting, acesso ao navegador do usuário e uma porção de outras coisas. O fato desse problema ser facilmente evitado, não quer dizer que podemos relaxar em relação a ele. Muito pelo contrário, fique sempre atento.
