Un delegato confuso è una preoccupazione su quale entità dovrebbe avere il controllo - che è un problema di autorizzazione e controllo dell'accesso. Questo è un problema di affidabilità e di verifica dell'intento. Vulnerabilità come; la falsificazione della richiesta lato server (SSRF), la falsificazione della richiesta lato client (CSRF) e il riferimento all'oggetto diretto non protetto (IDOR) rientrano in questa categoria.
Gli attacchi per iniezione sono causati dalla confusione tra cosa sono i dati e cosa è il codice. Un'iniezione è un tipo di vulnerabilità che può essere utilizzata per minare i sistemi di controllo degli accessi, nel senso che un server compromesso diventa una sorta di delegato confuso che è utile nel pivoting e nel post-exploitation (attack chaining). Ma questo non è l'unico caso, potresti avere una vulnerabilità legata all'input del codice in un ambiente sandboxed, che non è un'entità attendibile, ma potrebbe comunque essere utilizzata per usi illeciti, come il mining bitcoin.
Gli attacchi per iniezione sono più o meno indipendenti dai deputati confusi, ma un'iniezione potrebbe essere usata per prendere il controllo di un'entità fidata. Ci sono molti modi in cui un attaccante può confondere un deputato.