Existen diferentes vulnerabilidades que, dependiendo de sus características, las podemos clasificar e identificar en los siguientes tipos:

De configuración

Si la gestión administrable por el usuario es tal que hace que el sistema sea vulnerable, la vulnerabilidad no es debida al diseño del mismo si no a cómo el usuario final configura el sistema. También se considera error de este tipo cuando la configuración por defecto del sistema es insegura, por ejemplo una aplicación recien instalada que cuenta de base con usuarios por defecto.

Validación de entrada

Este tipo de vulnerabilidad se produce cuando la entrada que procesa un sistema no es comprobada adecuadamente de forma que una vulnerabilidad puede ser aprovechada por una cierta secuencia de entrada.

Salto de directorio

Ésta aprovecha la falta de seguridad de un servicio de red para desplazarse por el árbol de directorios hasta la raíz del volumen del sistema. El atacante podrá entonces desplazarse a través de las carpetas de archivos del sistema operativo para ejecutar una utilidad de forma remota.

Seguimiento de enlaces

Se producen cuando no existe una protección lo suficientemente robusta que evite el acceso a un directorio o archivo desde un enlace simbólico o acceso directo.

Inyección de comandos en el sistema operativo

Hablamos de este tipo de vulnerabilidad para referirnos a la capacidad de un usuario, que controla la entrada de comandos (bien a través de un terminal de Unix/Linux o del interfaz de comando de Windows), para ejecutar instrucciones que puedan comprometer la integridad del sistema.

Secuencias de comandos en sitios cruzados (XSS)

Este tipo de vulnerabilidad abarca cualquier ataque que permita ejecutar código de "scripting", como VBScript o javascript, en el contexto de otro dominio. Estos errores se pueden encontrar en cualquier aplicación HTML, no se limita a sitios web, ya que puede haber aplicaciones locales vulnerables a XSS, o incluso el navegador en si. El problema esta en que normalmente no se validan correctamente los datos de entrada que son usados en cierta aplicación. Hay dos tipos:

• Indirecta: consiste en modificar valores que la aplicación web utiliza para pasar variables entre dos páginas, sin usar sesiones.
• Directa: consiste en localizar puntos débiles en la programación de los filtros.

Inyección SQL

Inyección SQL es una vulnerabilidad informática en el nivel de base de datos de una aplicación. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL.

Una inyección de código SQL sucede cuando se inserta un trozo de código SQL dentro de otro código SQL con el fin de modificar su comportamiento, haciendo que ejecute el código malicioso en la base de datos. Un ejemplo es cuando un programa realiza una sentencia SQL sin querer con parámetros dados por el usuario para luego hacer una consulta de base de datos. En dichos parámetros que da el usuario estaría el código malicioso. Con estas inyecciones de código se pueden obtener múltiples resultados tales como datos escondidos, eliminar o sobrescribir datos en la base de datos y hasta lograr ejecutar comandos peligrosos en la máquina donde está la base de datos.

El hecho de que un servidor pueda verse afectado por las inyecciones SQL se debe a la falta de medidas de seguridad por parte de sus diseñadores/programadores, especialmente por una mala filtración de las entradas (por formularios, cookies o parámetros).

Inyección de código

Aquí encontramos distintos sub-tipos dentro de esta clase de vulnerabilidad:

• Inyección directa de código estático: el software permite que las entradas sean introducidas directamente en un archivo de salida que se procese más adelante como código, un archivo de la biblioteca o una plantilla. En una inyección de código de tipo estático o también llamada permanente, una vez inyectado el código en una determinada parte de la aplicación web, este código queda almacenado en una base de datos. Una de las soluciones mas apropiadas es asumir que toda la entrada es malévola. También es posible utilizar una combinación apropiada de listas negras y listas blancas para asegurar que solamente las entradas válidas y previstas son procesadas por el sistema.
• Evaluación directa de código dinámico: el software permite que las entradas sean introducidas directamente en una función que evalúa y ejecuta dinámicamente la entrada como código, generalmente en la misma lengua que usa el producto. En una inyección de código de tipo dinámico o no permanente la inyección tiene un tiempo de vida limitado y no se almacena, al menos permanentemente, en ningún sitio. Las soluciones mas apropiadas son las mismas que para la inyección directa de código estático.
• Inclusión remota de archivo PHP: vulnerabilidad existente únicamente en paginas dinámicas escritas en PHP está debida a la inclusión de la función include() la cual permite el enlace de archivos situados en otros servidores, mediante los cuales se puede ejecutar código PHP en el servidor. Se utilizan las funciones include, include_once, require, require_once las cuales son utilizadas para incluir en una pagina web otras paginas por tanto el atacante podrá obtener una Shell (es una interfaz con el sistema operativo, gracias a él podremos dar las órdenes y mandatos para que el sistema realice las tareas que necesitamos) en el servidor de la victima y ejecutar un archivo. Para que se pueda ejecutar dicho archivo debe tener una extensión diferente a “.php” ya que con esta extensión el archivo se ejecutaría en el servidor del atacante y no en el de la victima, así un archivo “.txt”, “.gif”... serian algunos de los mas adecuados.

Error de búfer

Un búfer es una ubicación de la memoria en una computadora o en un instrumento digital reservada para el almacenamiento temporal de información digital, mientras que está esperando ser procesada.

• El desbordamiento del búfer (Buffer overflow u overrun): un búfer se desborda cuando, de forma incontrolada, al intentar meter en él más datos de los que caben, ese exceso se vierte en zonas del sistema causando daños. Son defectos de programación y existen algunos lenguajes que impiden que los desbordamientos puedan ocurrir.
• El agotamiento del búfer (buffer underflow o underrun): es un estado que ocurre cuando un búfer usado para comunicarse entre dos dispositivos o procesos se alimenta con datos a una velocidad más baja que los datos se están leyendo en ellos. Esto requiere que la lectura del programa o del dispositivo del búfer detenga brevemente su proceso.

Formato de cadena

Nos refereimos a este tipo de vulnerabilidad cuando se produce a través de cadenas de formato controladas externamente, como el tipo de funciones "printf" en el lenguaje "C" que pueden conducir a provocar desbordamientos de búfer o problemas en la representación de los datos.

Errores numéricos

• El desbordamiento de entero (integer overflow): un desbordamiento del número entero ocurre cuando una operación aritmética procura crear un valor numérico que sea más grande del que se puede representar dentro del espacio de almacenaje disponible. Por ejemplo, la adición de 1 al valor más grande que puede ser representado constituye un desbordamiento del número entero.
• El agotamiento de entero (integer underflow): consiste en que un valor se resta de otro, que es menor que el valor mínimo del número entero, y que produce un valor que no es igual que el resultado correcto.

Revelación/Filtrado de información

Un filtrado o escape de información puede ser intencionado o no intencionado. En este aspecto los atacantes pueden aprovechar esta vulnerabilidad para descubir el directorio de instalación de una aplicación, la visualización de mensajes privados, etc. La severidad de esta vulnerabilidad depende de el tipo de información que se puede filtrar.

Gestión de credenciales

Este tipo de vulnerabilidad tiene que ver con la gestión de usuarios, contraseñas y los ficheros que almacenan este tipo de información. Cualquier debilidad en estos elementos es considerado como una vulnerabilidad que puede ser explotada por un atacante.

Permisos, privilegios y/o control de acceso

Se produce cuando el mecanismo de control de acceso o asignación de permisos es defectuoso. Hay que tener en cuenta que se trata del sistema en sí y no se debe confundir con una mala gestión por parte del administrador.

Fallo de autenticación

Esta vulnerabilida se produce cuando la aplicación o el sistema no es capaz de autenticar al usuario, proceso, etc. correctamente.

Carácter criptográfico

La generación de números aleatorios para generar secuencias criptográficas, la debilidad o distintos fallos en los algorítmos de encriptación así como defectos en su implementación estarían ubicados dentro de este tipo de vulnerabilidad.

Falsificación de petición en sitios cruzados (CSRF)

Este tipo de vulnerabilidad afecta a las aplicaciones web con una estructura de invocación predecible. El agresor puede colocar en la página cualquier código, el cual posteriormente puede servir para la ejecución de operaciones no planificadas por el creador del sitio web, por ejemplo, capturar archivos cookies sin que el usuario se percate.

El tipo de ataque CSRF más popular se basa en el uso del marcador HTML <img>, el cual sirve para la visualización de gráficos. En vez del marcador con la URL del archivo gráfico, el agresor pone un tag que lleva a un código JavaScript que es ejecutado en el navegador de la víctima.

Condición de carrera

Una condición de carrera se produce cuando varios procesos tratan de acceder y manipular los mismos datos simultáneamente. Los resultados de la ejecución dependerán del orden particular en que el acceso se lleva a cabo. Una condición de carrera puede ser interesante para un atacante cuando ésta puede ser utilizado para obtener acceso al sistema.

Error en la gestión de recursos

El sistema o software que adolece de este tipo de vulnerabilidad permite al atacante provocar un consumo excesivo en los recursos del sistema (disco, memoria y CPU). Esto puede causar que el sistema deje de responder y provocar denegaciones de servicio.

Error de diseño

En ocasiones los programadores bien por culpa de los entornos de trabajo o bien por su metodología de programación, cometen errores en el diseño de las aplicaciones. Esto provoca que puedan aparecer fallos de seguridad y la consiguiente vulnerabilidad. También se puede aplicar el "error de diseño" si no hay fallos en la implementación ni en la configuración de un sistema, si no que el diseño inicial es erroneo.