Abstrakte Schwachstellen

• Konstruktionsbedingte Schwachstellen
• Direkt angreifbare Sicherheitsfunktionen
• Verdeckte Kanäle
• Mangelnde Benutzerfreundlichkeit

Konkrete Schwachstellen

• Code Execution
• Bypass
• Cross-Site-Request-Forgery (CSRF)
• Directory Traversal

• Denial of Service (DoS)
• File Inclusion
• HTTP Response Splitting

Schwachstellen dieser Klasse ermöglichen es den Response-Header von Web-Diensten zu verändern. Auf diese Weise können Angreifer die Besucher von Webseiten z.B. mit Malware angreifen oder sensible Daten abgreifen. Eine Kritikalitätsbewertung der Schwachstellen dieser Klasse ist stark vom jeweiligen Kontext abhängig.

• Information Disclosure
• Memory Corruption

Wird eine Schwachstelle diesen Typs augenutzt, kommt es zu ungeplanten Veränderungen im Speicherbereich der betroffenen Anwendung. Abhängig von den Rahmenbedingungen kann mittels Memory Corruption auch Code Execution oder Denial of Service möglich werden.

• Buffer-Overflow
• Privilege Escalation
• SQL Injection
• Cross-Site-Scripting

Quelle: https://www.secupedia.info/wiki/Schwachstellenbewertung_(IT)#ixzz7h2TJ1Cc8 Lizensiert unter CC-BY-SA 3.0 Germany (http://secupedia.info/wiki/SecuPedia:Lizenz)

• SQL Injection
• Buffer-Overflow
• File Inclusion
• Race Conditions