תיעוד11.4.3. פגיעויות אינטרנט
בשל העובדה שאתרי אינטרנט מודרניים אינם עוד דפים סטטיים, אלא נוצרים באופן דינמי עבור המשתמש, האתר הממוצע הוא די מורכב. פרצות רשת מנצלות את המורכבות הזו במאמץ לתקוף את הלוגיקה של יצירת הדפים האחוריים או את המצגת למבקר באתר.
התקפות מסוג זה נפוצות ביותר, שכן ארגונים רבים הגיעו לנקודה שבה יש להם מעט מאוד שירותים הפונה כלפי חוץ. שניים מסוגי התקפות יישומי אינטרנט הנפוצים ביותר31 הם הזרקת SQL ו-Cross-site scripting (XSS).
• הזרקת SQL: התקפות אלו מנצלות את היתרון של יישומים לא מתוכנתים כהלכה שאינם מחטאים כראוי את קלט המשתמש, מה שמוביל ליכולת לחלץ מידע ממסד הנתונים או אפילו להשתלטות מלאה על השרת.
• סקריפטים חוצה אתרים: בדומה להזרקת SQL, התקפות XSS נובעות מחטא לא תקין של קלט המשתמש, מה שמאפשר לתוקפים לתמרן את המשתמש או האתר לביצוע קוד בהקשר של הפעלת הדפדפן שלהם.
יישומי אינטרנט מורכבים, עשירים ומסובכים נפוצים מאוד, ומציגים משטח התקפה מבורך עבור גורמים זדוניים. תמצא מספר רב של כלים שימושיים ב- ניתוח יישומי אינטרנט קטגוריית התפריט וה kali-linux-web חבילת מטא.