Der er meget, der kan gå galt med en webapplikation. Ud over XSS og SQLi er der:
- CSRF - Cross Site Request Forgery
- LFI/RFI - Local File Include/Remote File Include forårsaget af
include(),require()... - CRLF-injektion i
mail() - Global variabel navneområde-poising forårsaget almindeligvis af
register_globals,extract(),import_request_variables() - Directory Traversal:
fopen(),file_get_contents(),file_put_conents() - Fjernkodeudførelse med
eval()ellerpreg_replace()med/e - Fjernkodeudførelse med
passthru(),exec(),system()og ``
Der er en hel familie af sårbarheder vedrørende Broken Authentication and Session Management som er bortset fra OWASP Top 10 som enhver webapp-programmør skal læs.
A Study In Scarlet er et godt sort papir, der går over mange af disse sårbarheder, som jeg har nævnt.
Der er dog også mærkelige sårbarheder som denne i Wordpress . Den endelige autoritet for, hvad der er en sårbarhed, er CWE-systemet som klassificerer HUNDREDE af sårbarheder, hvoraf mange kan påvirke webapplikationer.