Podatnosci i ataki

Rozproszona odmowa usługi; skoordynowany atak z wielu zainfekowanych hostów (botnetu) zalewający cel ruchem w celu wyczerpania jego zasobów.

Zapis danych poza granicami przydzielonego bufora w pamięci, nadpisujący sąsiednie obszary i umożliwiający zmianę przepływu sterowania programu.

Odwołanie do obszaru pamięci po jego zwolnieniu; ponowna alokacja tej pamięci przez atakującego pozwala na manipulację danymi i przejęcie sterowania.

Nadpisanie ramki stosu, w szczególności adresu powrotu, w wyniku przepełnienia bufora, dające atakującemu kontrolę nad wykonaniem.

Wydobywanie tajnych informacji z fizycznych ujawnień implementacji, takich jak czas wykonania, zużycie energii czy emisja elektromagnetyczna.

Atak na funkcję skrótu polegający na znalezieniu dwóch różnych wejść dających identyczną wartość skrótu.

Systematyczne sprawdzanie wszystkich możliwych kluczy lub haseł w celu złamania zabezpieczenia.

Próba odgadnięcia hasła przez sprawdzanie wpisów z listy prawdopodobnych słów zamiast pełnej przestrzeni kluczy.

Luka nieznana producentowi i pozbawiona poprawki w momencie jej wykorzystania, dająca atakującemu przewagę czasową.

Wykonanie dowolnych poleceń systemu operacyjnego przez aplikację, która przekazuje niewalidowane dane wejściowe do interpretera powłoki.

Atak polegający na wprowadzeniu złośliwego fragmentu zapytania do bazy danych przez niewalidowane dane wejściowe, zmieniający logikę zapytania.

Przechwycenie i ewentualna modyfikacja komunikacji między dwiema stronami, które sądzą, że łączą się bezpośrednio ze sobą.

Podszywanie się pod inny podmiot lub adres (np. IP, ARP, e-mail) w celu oszukania systemu lub użytkownika co do źródła komunikacji.

Wprowadzenie sfałszowanych danych do pamięci podręcznej (np. DNS lub HTTP) tak, by były serwowane innym użytkownikom jako autentyczne.

Uzyskanie przez atakującego wyższego poziomu uprawnień niż pierwotnie przyznany, np. przejście do roli administratora.

Manipulacja ludźmi w celu skłonienia ich do ujawnienia informacji lub wykonania działań naruszających bezpieczeństwo.

Wyłudzanie poufnych danych przez podszywanie się pod zaufaną instytucję w fałszywej wiadomości lub witrynie.

Cross-site request forgery; zmuszenie uwierzytelnionej przeglądarki ofiary do wysłania niezamierzonego żądania do aplikacji, w której ofiara jest zalogowana.

Dostęp do plików spoza zamierzonego katalogu przez manipulację sekwencjami ścieżki, np. "../", w danych wejściowych aplikacji.

Cross-site scripting; wstrzyknięcie skryptu do strony oglądanej przez innych użytkowników, wykonywanego w kontekście ich przeglądarki i zaufania do witryny.