Sobre Controle de falhas em aplicações (OWASP - Open Web Application Security Project) é incorreto afirmar:

É comum que as aplicações web redirecionem e encaminhem usuários para outras páginas e sítios, usando dados não confiáveis para determinar as páginas de destino. Se não houver uma validação adequada, os atacantes podem redirecionar as vítimas para sites de phishing ou malware, ou usar encaminhamentos para acessar páginas não autorizadas.

As falhas de Injeção acontecem quando dados não confiáveis são enviados para um interpretador como parte de um comando ou consulta. Assim pode-se iludir o interpretador para que este execute comandos indesejados ou permita o acesso a dados não autorizados.

Com o intuito de garantir uma maior segurança, há a necessidade de definir uma configuração segura e implementada na aplicação, frameworks, servidor de aplicação, servidor web, banco de dados e plataforma. Não é necessário manter o software atualizado, mas essas configurações devem ser definidas, implementadas e mantidas, uma vez que a configuração padrão normalmente é insegura.

Aplicações web podem não proteger devidamente os dados sensíveis, como cartões de crédito e outros. Desta forma pode-se roubar esses dados desprotegidos com o propósito de realizar fraudes/crimes. Portanto dados sensíveis devem ter proteção extra como criptografia no armazenamento ou em trânsito, além de precauções especiais quando trafegadas pelo navegador.

Componentes como bibliotecas e frameworks geralmente são executados com privilégios elevados. Caso exista um componente que esteja vulnerável, ele pode ser explorado, gerando um ataque que pode causar sérias perdas de dados ou até o comprometimento do servidor.