Broj zloćudnih programa na webu u posljednjih je nekoliko godina dramatično porastao, upozorava američka tvrtka za tehnološku sigurnost Symantec. Jedan od uzroka rasta je automatizacija i dostupnost kompleta za iskorištavanje sigurnosnih "rupa", a iz Symanteca upozoravaju da sve veća popularnost takozvanih "exploit" kompleta ne samo da snižava letvicu za ulazak napadača na ovo područje, nego i podiže letvicu tvrtkama koje žele zaštiti svoju infrastrukturu na webu.
Symantec je objavio pet najuobičajenijih metoda napada koje su i dalje problem za mnoge siteove:
1. SQL Injection
SQL Injection je tehnika umetanja koda koja unosi zloćudne SQL izjave i naredbe u polje unosa za izvršavanje što dovodi do toga da web server šalje, odnosno vraća informaciju koju ne bi smio vratiti. Kao rezultat, web server omogućava pristup informacijama koje bi trebale biti sigurne i izvan dohvata. Na primjer, takvi su podaci korisnička imena i lozinke.
2. Cross Site Scripting (XSS)
Cross Site Scripting najrašireniji je sigurnosni propust u web aplikacijama, a događa se kad aplikacija prihvati neprovjerene podatke i pošalje ih browseru bez prave provjere ili označavanja kraja. To napadačima omogućava da izvršavaju skripte u browseru žrtve kada ona posjeti site, čime se pak može preuzeti kontrolu nad korisničkom sesijom, vandalizirati site ili preusmjeriti korisnika na zloćudne siteove.
3. CSRF (Cross-Site Request Forgery)
CSRF napad krade žrtvin sesijski kolačić (cookie) i druge autentifikacijske informacije koje se koriste za prijavu na ranjivi site. Kad se to izvrši, napadač može onda preuzeti kontrolu nad žrtvinom sesijom, na primjer na siteu banke te tako dobiti potpunu kontrolu nad računom. Međutim, kako site vjeruje da je prijavljen legitimni korisnik, jako je teško otkriti kad je ovakav napad uspio.
4. Korištenje komponenti s poznatim ranjivostima
Komponente – kao što su biblioteke koda, okviri i drugi softverski moduli – koje imaju poznate ranjivosti postale su napadačima vrlo lako dostupno voće. Međutim, kako se moglo vidjeti kod nedavnog Heartbleed buga, efektivno upravljanje zakrpama i sigurno kodiranje mogu biti teški, pogotovo za složene web aplikacije. Aplikacije koje koriste komponente s poznatim ranjivostima mogu potkopati obranu aplikacije i omogućiti čitav niz mogućih napada i utjecaja.
5. Posrednik (Man in The Middle)
Napad poznat pod imenom "posrednik" (Man in The Middle) presreće komunikaciju između dva sustava. Na primjer, u http transakciji (komunikaciji web servera i klijenta), meta je TCP veza između klijenta i servera. U nekim se okolnostima dogodilo da siteovi pritom šalju osjetljive informacije bez dovoljno jake enkripcije.