Уязвимости на стороне сервера
Помимо фишинга и связанных с ним атак на администраторов, хакеры часто пытаются определить тип веб-сервера (например, Tomcat), программное обеспечение веб-сервера (например, node.js) и серверная операционная система. Это может быть достигнуто путем изучения таких факторов, как общий интеллект (например, из комментариев в социальных сетях и технических сайтах), имена сеансовых файлов cookie, исходный код веб-страницы и многое другое.
Уязвимости на стороне клиента
На стороне клиента распространенные уязвимости включают в себя:
▫️SQL-инъекция: вставка SQL-команд в запросы, приводящая к несанкционированному высвобождению данных или изменению записей базы данных
▫️XSS: инъекция вредоносного кода
▫️CSRF: Захват сеанса пользователя
Фреймворки и киберугрозы
Современная практика веб-разработки, с ее большой зависимостью от библиотек с открытым исходным кодом, плагинов и фреймворков, является богатым источником уязвимостей, которые могут использовать хакеры. Хакеры приложат гораздо больше усилий для изучения библиотек на предмет уязвимостей, чем обычный веб-разработчик, и эти недостатки часто обнаруживаются только после того, как они были использованы для успешных взломов.
API и киберугрозы
Веб-сайты, использующие API для связи с серверными системами, могут иметь API, предназначенные для хакеров. В этом случае хакеры будут искать плохую безопасность API, такую как учетные данные или коды доступа или маркеры, доступные из строк запроса, переменных и других источников.