ضعف تزریق، مانند OS، NoSQL، SQL ،و تزریق LDAP زمانی رخ می دهد که داده های نامعتبر به عنوان بخشی از فرمان یا پرس و جو به یک مفسر ارسال شوند. داده های مخرب مهاجم می تواند مفسر را به اجرای دستورات غیرمنتظره یا دسترسی به داده ها بدون مجوز مناسب منجر کند.
توابع درخواست مربوط به احراز هویت و مدیریت نشست اغلب به اشتباه اجرا می شوند، و به مهاجمان اجازه می دهند رمزهای عبور، کلید ها یا نشانه های نشست به خطر بیافتد یا از ضعف های دیگر پیاده سازی استفاده کنند تا از هویت های دیگر کاربران به طور موقت یا دائمی بهره برداری کنند.
بسیاری از برنامه های کاربردی وب و API ها از اطلاعات حساس مانند مالی، سامت و PII به درستی محافظت نمی کنند. مهاجمان ممکن است این اطلاعات به درستی محافظت نشده را، سرقت یا برای سایر مقاصد مورد استفاده قرار داده، و یا تغییر دهند. داده های حساس ممکن است بدون حفاظت اضافی، مانند رمزگذاری در حالت استراحت یا در حین حمل، به خطر بیافتد.
بسیاری از پردازنده های قدیمی تر یا ضعیف پیکربندی شده XML ،ارجاعات موجودیت بیرونی را در اسناد XML ارزیابی می کنند. موجودیت بیرونی می تواند به افشای فایل های داخلی با استفاده از فایل URI فایل، اشتراک فایل های داخلی، اسکن پورت داخلی ، اجرای کد از راه دور و حمات انکار سرویس منجر شود.
محدودیت هایی که کاربران مجاز به انجام آن مجاز هستند اغلب به درستی اعمال نمی شوند. مهاجمان می توانند از این ضعف ها برای دسترسی به قابلیت های غیر مجاز و یا داده ها مانند دسترسی به حساب های دیگر کاربران، مشاهده فایل های حساس، تغییر دادن داده های کاربران دیگر، تغییر حقوق دسترسی و غیره استفاده کنند.
تنظیمات امنیتی اشتباه یکی از رایج ترین مسائل امنیتی موجود است . که معمولا نتیجه ای از تنظیمات پیش فرض ناامن، پیکربندی های ناقص و غیر مجاز، ذخیره سازی ابر باز، هدر های HTTP غلط تنظیم شده و پیام های خطای حاوی اطلاعات حساس است. نه تنها تمام سیستم عامل ها، چارچوب ها، کتابخانه ها و برنامه های کاربردی باید به صورت ایمن پیکربندی شوند، بلکه باید آنها را به موقع اعمال و به روز رسانی کرد.
نقص های XSS زمانی رخ می دهد که برنامه شامل اطلاعات غیر قابل اعتماد در یک صفحه وب جدید بدون اعتبارسنجی مناسب باشد یا یک صفحه وب موجود را با داده های ارائه شده توسط کاربر با استفاده از یک API مرورگر که می تواند HTML یا جاوااسکریپت ایجاد کند، به روز می کند. XSS به مهاجمان امکان اجرای اسکریپت ها در مرورگر قربانی را می دهد که می تواند جلوی کاربر را بگیرد، وب سایت ها را خراب کند یا کاربر را به سایت های مخرب هدایت کند.
deserialization نا امن منجر به اجرای کد از راه دور می شود. حتی اگر معایب deserialization باعث اجرای کد از راه دور نباشند، از آنها می توان برای انجام حملات استفاده کرد، از جمله حملات تزریق و حملات تشدید امتیاز.
اجزاء مانند کتابخانه ها، چارچوب ها و دیگر ماژول های نرم افزاری، دارای دسترسی هایی مشابه با برنامه می باشند. اگر یک جزء آسیب پذیر مورد سوء استفاده قرار گیرد، حمله می تواند باعث از دست رفتن اطلاعات جدی باشد.
نظارت و ثبت وقایع ناقص، همراه با عدم واکنش صحیح به حادثه، به مهاجمان اجازه می دهد تا به سیستم های بیشتری حمله کنند، یا اقدام به استخراج و یا نابودی اطلاعات کنند. بیشتر مطالعات نشان می دهد زمان برای تشخیص آسیب بیش از 200 روز است، که معمولا توسط شرکت های بیرونی، نه از طریق نظارت داخلی کشف میشوند.