Claves públicas/privadas débiles: buscar la clave/certificado público en internet para encontrar la clave/certificado privado respectivo, luego utilizarlo para modificar los requests y obtener acceso como otro usuario.

Sin verificación de firma: utilizar cualquier firma para modificar los requests y obtener acceso como otro usuario.

Signature stripping / eliminación de firmas: utilizar valores de firma vacíos para modificar los requests y obtener acceso como otro usuario.