Atak z iniekcją SQL: wykorzystuje źle zakodowane oprogramowanie aplikacji internetowej, które nie sprawdza poprawności ani nie filtruje danych wprowadzonych przez użytkownika na stronie internetowej
luka dnia zerowego: luka w zabezpieczeniach oprogramowania, która nie została wcześniej zgłoszona i dla której nie ma jeszcze poprawki
Heartbleed bug: luka w systemie szyfrowania OpenSSL, która umożliwiła hakerom odszyfrowanie sesji SSL i wykrycie nazw użytkowników, haseł i innych danych użytkowników.
Wiele zagrożeń bezpieczeństwa poluje na źle zaprojektowane oprogramowanie, czasami w systemie operacyjnym, a czasami w oprogramowaniu aplikacyjnym, w tym przeglądarkach. Wzrost złożoności i rozmiaru programów, w połączeniu z wymaganiami terminowego dostarczania na rynki, przyczynił się do wzrostu liczby luk w oprogramowaniu lub luk w zabezpieczeniach, które mogą wykorzystać hakerzy. Na przykład ataki typu SQL injection wykorzystują luki w słabo zakodowanych aplikacjach internetowych, które nie sprawdzają poprawnie lub nie filtrują danych wprowadzonych przez użytkownika na stronie internetowej w celu wprowadzenia złośliwego kodu programu do systemów i sieci firmy. Osoba atakująca może wykorzystać ten błąd sprawdzania poprawności danych wejściowych, aby wysłać fałszywe zapytanie SQL do bazowej bazy danych w celu uzyskania dostępu do bazy danych, umieszczenia złośliwego kodu lub uzyskania dostępu do innych systemów w sieci. Duże aplikacje internetowe mają setki miejsc do wprowadzania danych użytkownika, z których każde stwarza okazję do ataku typu SQL injection. Uważa się, że wiele aplikacji internetowych ma luki w zabezpieczeniach umożliwiających wstrzyknięcie kodu SQL, a hakerzy mają do dyspozycji narzędzia do sprawdzania aplikacji internetowych pod kątem tych luk. Każdego roku firmy zajmujące się bezpieczeństwem identyfikują tysiące luk w zabezpieczeniach oprogramowania przeglądarek internetowych, komputerów PC, Macintosh i Linux, a także urządzeń mobilnych ,systemy i aplikacje. Według firmy Microsoft ujawnienia luk w zabezpieczeniach w branży oprogramowania w drugiej połowie 2015 r. Wzrosły o 9% w porównaniu z tym samym okresem w 2014 r. Zidentyfikowano ponad 3300 luk (Microsoft, 2016). W szczególności luki w zabezpieczeniach przeglądarek są popularnym celem, podobnie jak wtyczki do przeglądarek, takie jak Adobe Reader. Luka typu zero-day to taka, która nie została wcześniej zgłoszona i dla której nie istnieje jeszcze łatka. W 2015 roku zgłoszono 54 luki w zabezpieczeniach typu zero-day, w porównaniu z 24 w 2014 (Symantec, 2016). Sam projekt komputera osobistego zawiera wiele otwartych portów komunikacyjnych, które mogą być używane, a nawet są przeznaczone do używania, przez komputery zewnętrzne do wysyłania i odbierania wiadomości. Często atakowane porty obejmują port TCP 445 (Microsoft-DS), port 80 (WWW / HTTP) i 443 (SSL / HTTPS). Ze względu na złożoność i cele projektowe wszystkie systemy operacyjne i aplikacje, w tym Linux i Macintosh, mają luki w zabezpieczeniach. W 2014 roku odkryto lukę w systemie szyfrowania OpenSSL, używanym przez miliony witryn internetowych, zwaną błędem Heartbleed (dalsze omówienie SSL znajduje się w sekcji 5.3). Luka ta umożliwiła hakerom odszyfrowanie sesji SSL i wykrycie nazw użytkowników, haseł i innych danych użytkowników za pomocą protokołu OpenSSL w połączeniu z protokołem komunikacyjnym zwanym pulsem RFC6520, który pomaga zdalnemu użytkownikowi pozostać w kontakcie po połączeniu się z serwerem witryny internetowej. W trakcie tego procesu może wyciec niewielka część zawartości pamięci serwera (stąd nazwa zawrotna), potencjalnie wystarczająco duża, aby pomieścić hasło lub klucz szyfrujący, który pozwoliłby hakerowi na dalsze wykorzystanie serwera. Błąd Heartbleed wpłynął również na ponad 1300 aplikacji na Androida. Później w 2014 roku ujawniono kolejną lukę znaną jako ShellShock lub BashBug, która dotyczyła większości wersji Linuksa i Uniksa, a także Mac OS X. Osoby atakujące z włączoną funkcją ShellShock mogą używać CGI (patrz Rozdział 4) do dodawania złośliwych poleceń (Symantec, 2015). W 2015 roku badacze ogłosili, że odkryli nową lukę w zabezpieczeniach SSL / TLS, którą nazwali FREAK (Factoring Attack on RSA-Export Keys), która umożliwia ataki typu man-in-the-middle, które umożliwiają przechwycenie i odszyfrowanie zaszyfrowanej komunikacji między klientami a serwery, które umożliwiłyby następnie atakującym kradzież haseł i innych danych osobowych. Podobno ponad 60% zaszyfrowanych witryn internetowych było narażonych na ataki za pośrednictwem tej luki w zabezpieczeniach, w tym witryny Białego Domu, FBI i Agencji Bezpieczeństwa Narodowego (Hackett, 2015; Vaughan-Nichols, 2015). Niedawne badanie wykazało, że ponad 1200 witryn internetowych największych firm nie rozwiązało całkowicie problemu.