Wiele ataków może być bardzo łatwo wyprowadzona z przeglądarki, inne wymagają gruntownej wiedzy o serwerach hostowych i określonych aplikacjach, wszystkie jednak zagrażają ośrodkom webowym. Lista form ataków jest dość długa. Oto tylko kilka przykładów:

• Cross-site scripting – złośliwy kod, zazwyczaj w formie znacznika składniowego <SCRIPT>, dołączonego do URL, wykonywany w momencie kliknięcia go.

• Przepełnienia bufora aplikacji – zbyt długie zlecenie wysłane do aplikacji, przekraczające rozmiar przydzielonego bufora, może pozwolić na wykonanie kodu wprowadzonego przez napastnika lub zniszczenie istotnych danych systemowych.

• Sfałszowane cookie – manipulowanie sesją obejmującą cookie może umożliwić napastnikowi nieautoryzowane uzyskanie informacji z serwera. Cookies są przekazywane z serwera do przeglądarki, tak więc nieodporne na manipulację. Aplikacje nie zakładają zmian w cookie, mogą więc przetwarzać fałszywe cookie, co z kolei może prowadzić do modyfikacji stałych pól danych.

• Manipulacja na polach zakrytych – obejmuje zmiany wartości pól zakrytych, które często zawierają informacje statusowe dla serwera.

• Znane luki – pozwalają na wykorzystanie znanych powszechnie usterek lub ustawień domyślnych, które nie zostały załatane czy zmienione.

Środki ochrony

W związku z pogłębianiem się zagrożeń związanych z technikami webowymi pojawiły się narzędzia ochrony, rozwiązujące problemy nieszczelności serwerów webowych i aplikacji. W narzędziach tych wykorzystano wiele technologii.

Do podstawowych rozwiązań związanych z ochroną weba i aplikacji można zaliczyć:

• zaufane systemy operacyjne (TOS)

• hostowe IDS

• Hostowe systemy zapobiegania włamaniom (Host IPS)

• osłony aplikacji

• urządzenia air gap

• kontrole wyjścia

• ocenę podatności na zagrożenia (VA).