Er kan veel mis gaan met een webapplicatie. Behalve XSS en SQLi is er:
- CSRF - Vervalsing van aanvragen voor meerdere sites
- LFI/RFI - Lokaal bestand opnemen/Extern bestand opnemen veroorzaakt door
include(),require()... - CRLF-injectie in
mail() - Global Variable Namespace Poising vaak veroorzaakt door
register_globals,extract(),import_request_variables() - Directory Traversal:
fopen(),file_get_contents(),file_put_conents() - Externe code uitvoeren met
eval()ofpreg_replace()met/e - Externe code uitvoeren met
passthru(),exec(),system()en ``
Er is een hele reeks kwetsbaarheden met betrekking tot Gebroken authenticatie en sessiebeheer wat afwijkt van de OWASP Top 10 dat elke webapp-programmeur moet lees.
Een studie in Scarlet is een goed zwart papier dat veel van deze kwetsbaarheden behandelt die ik heb opgesomd.
Er zijn echter ook vreemde kwetsbaarheden zoals deze in Wordpress . De definitieve autoriteit over wat een kwetsbaarheid is, is het CWE-systeem die HONDERDEN . classificeert kwetsbaarheden, waarvan vele van invloed kunnen zijn op webapplicaties.