XSS (Cross-Site Scripting): Внедрение вредоносного скрипта на веб-страницу, который выполняется в браузере пользователя. Существует несколько видов:
Отраженная (Reflected XSS): Скрипт передается через URL или форму и не сохраняется на сервере.
Сохраненная (Stored XSS): Скрипт сохраняется на сервере (например, в базе данных) и выполняется при доступе к странице.
DOM-based XSS: Скрипт выполняется из-за манипуляций с DOM на стороне клиента.
CSRF (Cross-Site Request Forgery): Вредоносный сайт заставляет браузер пользователя отправить нежелательный запрос на доверенный веб-сайт, где пользователь авторизован.
SQL Injection: Внедрение вредоносного SQL-кода в запросы к базе данных через input-поля формы или URL.
Insecure Direct Object Reference (IDOR): Уязвимость, позволяющая получить доступ к ресурсам, на которые у пользователя не должно быть разрешений, обычно путем изменения параметра запроса, ссылающегося на объект.
Security Misconfiguration: Неправильная конфигурация сервера, фреймворка или других компонентов веб-приложения, приводящая к уязвимостям.
Broken Authentication and Session Management: Уязвимости, связанные с некорректной реализацией механизмов аутентификации и управления сессиями, что позволяет скомпрометировать учетные записи пользователей.
Sensitive Data Exposure: Раскрытие конфиденциальных данных из-за некорректного шифрования или хранения.
Using Components with Known Vulnerabilities: Использование зависимостей или библиотек с известными уязвимостями.