Injecția SQL apare când inputul utilizatorului ajunge direct în interogări fără validare sau parametrizare. Atacatorul poate citi, modifica sau șterge date, ocoli autentificarea ori escalada privilegii. Prevenirea se face prin interogări parametrizate (prepared statements), ORM corect, whitelist la validări și principii de minim privilegiu în baza de date, plus monitorizare și jurnalizare riguroasă.
XSS permite injectarea de scripturi malițioase în paginile vizualizate de alți utilizatori. Consecințele includ furt de cookie‑uri, sesiuni, redirecționări, keylogging și phishing in‑page. Mitigare: auto‑escape în șabloane, Content Security Policy, validare/filtrare output context‑aware, HTTPOnly la cookie‑uri și interzicerea HTML periculos în câmpurile de intrare, inclusiv sanitizare la upload.
CSRF forțează un browser autentificat să trimită cereri nedorite către o aplicație, părând legitime. De obicei, scapă de protecții dacă sesiunile se bazează doar pe cookie‑uri. Protecții recomandate: token‑uri anti‑CSRF, SameSite=Lax/Strict pentru cookie‑uri, verificare de origine/referer, butoane de confirmare pentru acțiuni critice și folosirea metodelor corecte (POST/DELETE) cu idempotency clară.
Setări implicite, porturi expuse, directoare listabile, debug activ în producție sau permisiuni prea largi sunt cauze frecvente. Automatizați configurarea (IaC), integrați scanări de conformitate, dezactivați bannere de versiune și îndepărtați componente neutilizate. Aplicați patch‑uri regulat și folosiți baseline‑uri hardenizate (CIS, Benchmarks) pentru servere, containere și servicii managed.
Datele personale, secretele API sau fișierele de backup ajung accesibile public din neatenție. Criptați la repaus și în tranzit, folosiți gestionare de secrete, rotați cheile regulat, separați medii și evitați logarea datelor sensibile. Implementați politici de retenție și drepturi de acces pe bază de rol (RBAC), plus teste de securitate periodice.
Parole slabe, reutilizate, token‑uri previzibile și sesiuni nelimitate ca durată facilitează compromiterea conturilor. Folosiți MFA, parole unice cu policy clar, rate limiting, parole hash‑uite cu bcrypt/Argon2, rotație token, expirare sesiuni și reautentificare la operațiuni sensibile. Configurați cookie‑uri cu Secure, HttpOnly și SameSite.
Accesul la resurse fără verificare de autorizație permite utilizatorilor să vadă sau să modifice date ale altora. Evitați controlul doar în client, aplicați controale pe server, model RBAC/ABAC, verificări sistematice pe fiecare endpoint și teste de tip IDOR. Logați încercările eșuate și returnați erori generice pentru a nu dezvălui detalii interne.
Construirea de comenzi shell sau interogări LDAP cu input nesecurizat oferă cale directă către execuție arbitrară sau extragere de informații. Evitați concatenările, folosiți API‑uri sigure și whitelist pentru parametri. Reduceți suprafața cu izolări (chroot/containere), permisiuni minime și limitarea resurselor. Jurnalizați și alertați pentru pattern‑uri suspecte.
SSRF exploatează serverul pentru a face cereri către rețele interne sau servicii meta‑date cloud. Poate duce la exfiltrare de chei, pivotare și execuție. Aplicați whitelist de destinații, interziceți scheme periculoase (file://, gopher://), filtrați IP‑uri private și izolați rolurile/instanțele astfel încât accesul la metadata să fie minim și time‑bounded.
Formatele de obiecte pot fi manipulate pentru a executa cod la deserializare sau pentru a modifica starea aplicației. Evitați tipurile periculoase, validați schema, folosiți liste de clase permise și semnați/verificați integritatea. Optați pentru formate simple (JSON sigur) și păstrați operațiile de deserializare în zone izolate, cu timeouts și resurse limitate.
Pachete vechi sau neauditate aduc CVE‑uri directe în produs. Implementați SCA (software composition analysis), lock‑files, policy pentru versiuni, Renovate/Dependabot și semnături de proveniență (SBOM). Faceți patching continuu, testare în CI și rollout gradual. Păstrați un registru clar al dependențelor directe și tranzitive pentru transparență și reacție rapidă.
Algoritmi depășiți (MD5, SHA‑1), chei scurte sau implementări greșite compromit confidențialitatea. Folosiți standarde moderne (AES‑GCM, ChaCha20‑Poly1305, SHA‑256/512), management de chei prin KMS/HSM, rotație periodică și politici de reînnoire a certificatelor. Evitați dezvoltarea casnică de criptografie; bazați‑vă pe biblioteci auditate și protocoale consacrate.
Atacatorii manipulează utilizatorii pentru a dezvălui credențiale sau a rula malware. Educați regulat, simulați phishing, aplicați DMARC/DKIM/SPF, activați MFA și folosiți filtre anti‑spam. Procesele interne ar trebui să includă verificări prin canale alternative pentru tranzacții sau solicitări sensibile, reducând suprafața de risc organizațională.
Ransomware criptează datele și întrerupe operațiunile. Prevenția cere patch‑uire, segmentare de rețea, principle of least privilege și EDR. Back‑up‑urile 3‑2‑1, offline testate periodic, scad impactul. Planuri clare de răspuns la incidente, exerciții tabletop și izolare rapidă a stațiilor afectate limitează extinderea și timpul de recuperare.
Business Email Compromise implică impersonare pentru a redirecționa plăți sau date. Asigurați controale financiare cu doi pași, validare telefonică, alerte pentru schimbări de cont, reguli DLP și audit pe accesul delegat. Învățați utilizatorii să recunoască anomalii subtile în ton, domeniu și atașamente aparent legitime.
Bucket‑uri publice, roluri IAM prea largi și chei uitate într‑un repo provoacă scurgeri. Implementați politicile de confidențialitate by default, verificări continue (CSPM), separarea conturilor, rotation pentru secrete și acces pe bază de rol cu principii Zero Trust. Activați logare/alertare pentru operațiuni privilegiate și revizuiți periodic.
API‑urile expun adesea date mai mult decât UI‑ul. Lipsa rate‑limiting‑ului, autentificare slabă și filtrare insuficientă permit scraping, enumeration și abuz. Folosiți standarde (OAuth2/OIDC), scopes stricte, pagination corectă, versionare, validare payload, rate‑limit și WAF/WAAP. Documentați minimul necesar public, păstrați cheile în siguranță.
Atacurile de disponibilitate saturează resursele, de la layer 3/4 la aplicație. Protecția constă în autoscalare, CDN, Anycast, rate limiting, cache agresiv și reguli WAF. Testați scenarii de overload, configurați alerte pe latență/erori și prioritizați rutele critice. Contractele cu furnizori de mitigare DDoS reduc timpul de reacție.
Dispozitivele IoT vin cu parole implicite, firmware neactualizat și protocoale nesigure. Segmentați rețeaua, dezactivați servicii inutile, actualizați firmware‑ul și folosiți management centralizat. Monitorizați traficul neobișnuit și impuneți autentificare puternică pentru console. Inventarul clar al dispozitivelor ajută la evaluări periodice și reacții rapide.
Aplicațiile mobile stochează uneori date sensibile în clar sau în zone nesigure (logs, clipboard). Utilizați Keychain/Keystore, criptare puternică, ofuscare, protecții împotriva root/jailbreak și dezactivați backup‑urile necriptate. Aplicați pinning TLS, validare la runtime și revizuiri periodice ale permisiunilor cerute de aplicație pentru a minimiza expunerea.
Compromiterea furnizorilor, a bibliotecilor sau a pipeline‑ului CI/CD permite introducerea de cod malițios. Implementați semnături, verificare SLSA, builduri reproducibile și separarea drepturilor în pipeline. Validați artefactele, scanați imaginile de containere și folosiți registries private cu policy de promovare pe medii.
Angajați sau contractori pot abuza intenționat sau accidental de acces. Principiul minimului privilegiu, separarea atribuțiilor, monitorizarea activităților sensibile și revizii periodice ale drepturilor sunt esențiale. Programe de conștientizare, canale de raportare și off‑boarding riguros reduc riscul și timpul de detecție.
Sistemele industriale au cerințe speciale de disponibilitate și folosesc adesea protocoale vechi. Evitați expunerea directă la internet, implementați segmente separate, firewalluri industriale și monitorizare pasivă. Planuri de patch‑ing bine testate și inventarul componentelor critice sunt cruciale pentru continuitatea operațională.
Lipsa logurilor utile și a alertelor întârzie detecția incidentelor. Standardizați schema de evenimente, păstrați jurnalele centralizat, activați audit pe acțiuni privilegiate și corelați cu SIEM. Testați periodic playbook‑urile de răspuns, definiți RTO/RPO și metrice de securitate. Logați fără a expune date sensibile, cu retenție adecvată.
Parolele slabe sau reciclate rămân poarta principală. Impuneți politici moderne: manager de parole, MFA, parole lungi ușor de reținut (passphrases) și blocare după încercări repetate. Educați despre reutilizarea periculoasă între servicii și folosiți protecții împotriva credential stuffing, inclusiv verificări față de breșe cunoscute.
Prompt injection este o vulnerabilitate emergentă în aplicațiile care folosesc modele de inteligență artificială. Atacatorii manipulează prompturile pentru a forța modelul să ignore instrucțiunile originale și să dezvăluie date sensibile sau să execute acțiuni neautorizate. Prevenirea implică filtrarea și validarea inputurilor, izolarea contextelor de execuție și folosirea tehnicilor de „prompt hardening” pentru a limita comportamentul modelului.