Có rất nhiều lỗi có thể xảy ra với một ứng dụng web. Ngoài XSS và SQLi, có:
- CSRF - Truy vấn Yêu cầu Trên Nhiều Trang web
- LFI / RFI - Bao gồm tệp cục bộ / Bao gồm tệp từ xa do
include()gây ra ,require()... - Chèn CRLF trong
mail() - Gây ra không gian tên biến toàn cầu gây ra bởi
register_globals,extract(),import_request_variables() - Truyền tải thư mục:
fopen(),file_get_contents(),file_put_conents() - Thực thi mã từ xa với
eval()hoặcpreg_replace()với/e - Thực thi mã từ xa với
passthru(),exec(),system()và ``
Có rất nhiều lỗ hổng liên quan đến Xác thực bị hỏng và Quản lý phiên nằm ngoài 10 OWASP hàng đầu mà mọi nhà lập trình ứng dụng web phải đọc.
Nghiên cứu về Scarlet là một báo cáo đen tốt về nhiều lỗ hổng bảo mật mà tôi đã liệt kê.
Tuy nhiên, cũng có những lỗ hổng lạ như lỗ hổng này trong Wordpress . Cơ quan cuối cùng về lỗ hổng bảo mật là hệ thống CWE phân loại HUNDREDS lỗ hổng bảo mật, nhiều lỗ hổng trong số đó có thể ảnh hưởng đến các ứng dụng web.
