Broken Access Control (Нарушение управления доступом)
Отсутствие или ошибки в проверке прав пользователей, позволяющие злоумышленникам получить доступ к чужим данным или функциям.
Cryptographic Failures (Криптографические ошибки)
Использование слабых или устаревших алгоритмов, отсутствие шифрования там, где нужно, неправильное хранение или передача данных.
Injection (Инъекции)
Все типы инъекций: SQLi, NoSQL, OS Command, LDAP и др. — когда злоумышленник может вставить произвольный код в запрос приложения.
Insecure Design (Небезопасный дизайн)
Проблемы на этапе проектирования системы — отсутствие моделей угроз, неправильная архитектура, которая изначально допускает уязвимости.
Security Misconfiguration (Ошибочная конфигурация безопасности)
Например, включённые ненужные сервисы, дефолтные пароли, неправильные разрешения или раскрытие подробностей через заголовки/сообщения об ошибках.
Vulnerable and Outdated Components (Уязвимые и устаревшие компоненты)
Использование библиотек, фреймворков или платформ с известными уязвимостями.
Identification and Authentication Failures (Сбои аутентификации и идентификации)
Слабая или отсутствующая аутентификация, возможность перебора паролей, проблемы с многофакторной аутентификацией.
Software and Data Integrity Failures (Сбои целостности ПО и данных)
Например, отсутствие подписи для обновлений, использование непроверенных пакетов из репозиториев.
Security Logging and Monitoring Failures (Отсутствие или ошибки логирования и мониторинга)
Без надлежащего логирования и мониторинга невозможно вовремя обнаружить и расследовать атаки.
Server-Side Request Forgery (SSRF) (Подделка серверных запросов)
Когда сервер обрабатывает URL или адреса, указанные пользователем, что позволяет обращаться к внутренним сервисам, файлам или ресурсам.