Что такое уязвимости?

Информация на данной странице актуальна на сегодня - 20.04.2026

Классификация уязвимостей и угроз для сайтов.

Что такое уязвимость сайта

В области веб-безопасности, термин уязвимость используется для обозначения недостатков в коде сайта или программном обеспечении сервера, используя которые, можно нарушить целостность системы и вызвать неправильную работу.
Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании сайтов, ненадежных паролей, возможности проведения скриптовых и SQL-инъекций, а также атак на сайт.
Обычно уязвимость позволяет атакующему обмануть интернет - приложение и заставить его совершить действие, на которое у того не должно быть прав.
Это делается путём внедрения каким-либо образом в программу данных или кода в такие места, что программа воспримет их как свои.
В большинстве случаев уязвимости появляются из-за недостаточной проверки данных, вводимых пользователем, и позволяют вставить в интерпретируемый код произвольные команды.
Многие уязвимости появляются из-за более сложных проблем, таких как запись данных в буфер без проверки его границ (переполнение буфера).
Одни уязвимости известны только теоретически, но большинство уязвимостей уже активно используются и имеют известные эксплойты.

10 самых популярных веб-уязвимостей по версии OWASP (Open Web Application Security Project)

• A1 Injection (инъекции)
• A2 Broken Authentication and Session Management (ошибки, обход аутентификации)
• A3 Cross-Site Scripting (XSS) (межсайтовый скриптинг)
• A4 Insecure Direct Object References (незащищенные ресурсы и объекты)
• A5 Security Misconfiguration (небезопасная конфигурация окружения)
• A6 Sensitive Data Exposure (незащищенность критичных данных)
• A7 Missing Function Level Access Control (отсутствие функций контроля доступа)
• A8 Cross-Site Request Forgery (CSRF) (межсайтовая подделка запроса)
• A9 Using Components with Known Vulnerabilities (»спользование компонентов с известными уязвимостями)
• A10 Unvalidated Redirects and Forwards (Ќепроверенные переадресации и пересылки)

OWASP Top Ten - это серьезный документ, осведомляющий о безопасности веб-приложений и представляющий собой единый источник всех наиболее критичных уязвимостей веб-технологий.

Мы составили свой рейтинг угроз, исходя из статистики обращений в нашу компанию с проблемой взлома сайтов

• Инъекции.
• Remote Code Execution. Удаленное выполнение кода на сервере.
• PHP - инъекции. Выполнение произвольного PHP кода.
• SQL - инъекции. Внедрение произвольного кода в SQL запрос.
• XPath - инъекции. Внедрение произвольного кода в XPath запрос.


• Инклуды.
• RFI Remote file include. Оключение удаленного файла.
• Local File Include. Подключение, выполнение или чтение локальных файлов на сервере.
• PHP include. Оключение удаленного PHP файла.


• Некорректная публикация сайта на сервере. ошибки публикации.
• Открытые директории с системными файлами.
• Открытый доступ и возможность выполнения системных файлов, взаимодействующих с файловой системой или базами данных.
• Системные архивы, бэкапы сайта, находящиеся в открытом доступе.
• Файлы дампа баз данных в открытом доступе.
• Открытый доступ к .svn или .git индексным файлам.


•  Клиентские атаки. Атаки на администраторов и посетителей сайта.
• XSS атака. - Cross Site Sсriрting - межсайтовый скриптинг.
• CSRF атака. - Cross Site Request Forgery - межсайтовая подделка запроса.