意図しない、または予期しない動作を引き起こすために、インターネットに面したコンピューターシステムまたはプログラムの弱点を利用するソフトウェア、データ、またはコマンドを利用する攻撃。システムの弱点とは、バグ、欠陥、または設計の脆弱性です。これらのアプリケーションは多くの場合Webサイトですが、データベース(SQLなど)[1]、標準サービス(SMB[2]やSSH)や,webサーバや関連サービスのようにインターネットからアクセス可能なソケットを持つアプリケーションも含めることができます。[3]悪用される欠陥に応じて、これには防御回避への攻撃が含まれる場合があります。
アプリケーションがクラウドベースのインフラでホストされている場合、その悪用が、基盤となるインスタンスの侵害を引き起こす可能性があります。これにより、攻撃者はクラウドAPIにアクセスしたり、脆弱なIDおよびアクセス管理ポリシーを利用したりできます。
Webサイトおよびデータベースのために、OWASPのトップ10およびCWEのトップ25は、最も一般的なWebベースの脆弱性を強調しています。[4][5]