Има много неща, които могат да се объркат с уеб приложение. Освен XSS и SQLi, има:
- CSRF – фалшифициране на заявки за различни сайтове
- LFI/RFI – Включване на локален файл/Включване на отдалечен файл, причинено от
include(),require()... - CRLF инжекция в
mail() - Изместване на пространство от имена на глобална променлива, често причинено от
register_globals,extract(),import_request_variables() - Обхождане на директория:
fopen(),file_get_contents(),file_put_conents() - Отдалечено изпълнение на код с
eval()илиpreg_replace()с/e - Отдалечено изпълнение на код с
passthru(),exec(),system()и ``
Има цяла група от уязвимости по отношение на счупено удостоверяване и управление на сесиите което е част от OWASP Топ 10 което всеки програмист на уеб приложения трябва прочетете.
A Study In Scarlet е добра черна хартия, която обхваща много от тези уязвимости, които изброих.
Въпреки това, има и странни уязвимости като тази в Wordpress . Окончателният орган за това какво е уязвимост е системата CWE който класифицира СТОТИЦИ на уязвимости, много от които могат да засегнат уеб приложения.
