Zraniteľnosti zvyčajne vedú napríklad k Remote Code Execution – vzdialenému spusteniu škodlivého kódu, eskalácii privilégií alebo dosiahnutiu hlavného cieľa pri simulácii útoku na IT infraštruktúru firiem, získaniu role doménového administrátora, s ktorého oprávneniami preberá útočník kontrolu nad celou sieťou. Pre weby predstavuje vysoké riziko zraniteľnosť „SQL injection“. Útočník v tomto prípade využíva bezpečnostné nedostatky k preniknutiu do databázovej vrstvy webovej aplikácie prostredníctvom vloženia vlastného SQL príkazu. SQL je programovací jazyk, ktorý umožňuje pracovať s dátami v relačných databázach, ktoré často obsahujú citlivé informácie, akými sú prístupové údaje používateľov. Najčastejšie dochádza k takémuto útoku prostredníctvom neošetrených vstupných formulárov. Útočník môže do takto nezabezpečeného prihlasovacieho formulára v internetovom obchode vložiť SQL príkaz, ktorý mu umožní voľne zapisovať do databázy. Inými slovami, útočník má možnosť manipulovať s dátami, ktoré sú v databáze uložené, čo môže vážne ovplyvniť chod a prevádzku aplikácie, jej serveru a zaobchádzanie s citlivými údajmi užívateľov.
Experti z Citadelo sa zamerali tiež na preverovanie ľudského faktoru, na ktorý najčastejšie mieria vektory útoku hekerov využívajúce metódy sociálneho inžinierstva, ako vishing, phishing a smishing. Tie sú vysoko rizikové ako pre jednotlivcov, taktiež pre firmy v ktorých pracujú. Efektivitu týchto útokov dokumentujú aj interné nezverejnené štatistiky spoločnosti. Úspešnosť simulovaných útokov, ktoré Citadelo vlani vykonalo s využitím týchto techník, je až 40 %. Znamená to, že takmer každá druhá obeť v novo testovaných spoločnostiach podľahla nástrahám etických hekerov. Veľký počet nájdených zraniteľností poukazuje na nevyhnutnosť komplexného penetračného testovania a posudzovania bezpečnosti. Predovšetkým v dnešnej dobe, kedy sa početnosť a sofistikovanosť kybernetických útokov neustále zvyšuje a stále viac mieria na komerčný priemyselný sektor, telekomunikácie a dopravu. Potvrdzujú to aj
nároky novej európskej legislatívy DORA a NIS2.
nároky novej európskej legislatívy DORA a NIS2.
