クロスサイトリクエストフォージェリ（CSRF）

Webアプリケーションの入力値を通じて不正なSQL文を挿入・実行させる攻撃手法。データの不正取得、改ざん、削除などが可能になる。対策としてプレースホルダ（バインド機構）の使用、入力値の検証、エスケープ処理、最小権限のDBアカウント使用がある。

Webアプリケーションの脆弱性を利用して、悪意のあるスクリプトをWebページに埋め込む攻撃。反射型、格納型、DOMベースの3種類がある。対策として出力時のHTMLエスケープ、Content-Security-Policy（CSP）ヘッダの設定、入力値の検証がある。

Webアプリケーションの入力値を通じて、サーバ上でOSのコマンドを不正に実行させる攻撃手法。PHPのexec関数やsystem関数など、外部コマンドを実行する機能への入力値が適切にサニタイズされていない場合に発生する。対策としてコマンド実行関数の使用回避、入力値の厳格な検証がある。

Webアプリケーションのファイルパス指定の脆弱性を利用して、「../」などの相対パス表記により、本来アクセスが許可されていないディレクトリやファイルに不正にアクセスする攻撃。対策としてパス名やファイル名をパラメータとして受け取らない設計、入力値のバリデーションがある。

HTTPレスポンスヘッダに改行コードを含む不正な値を挿入し、レスポンスヘッダやボディを操作する攻撃。Cookieの不正設定、偽のレスポンスボディの挿入、キャッシュ汚染などが可能になる。対策として改行コードの除去や外部入力値のヘッダへの直接出力の回避がある。

Lockheed Martin社が提唱したサイバー攻撃の段階モデル。偵察、武器化、配送、攻撃、インストール、遠隔操作（C&C）、目的達成の7段階で攻撃を分析し、各段階での防御策を検討する。