Die Experten aus dem Hause Imperva haben sich die veröffentlichten Chat-Protokolle von den Lulzsec-Mitgliedern genau angesehen und wollten diesbezüglich herausfinden, welche Techniken die Aktivisten für ihre Angriffe hauptsächlich verwendeten.
In erster Linie zielte Lulzsec mit den Angriffen auf Schwachstellen in Datenbanken und Webanwendungen ab. Dazu gehören unter anderem die so genannte SQL Injection und das Cross Site Scripting.
Zudem nutzte Lulzsec die Remote File Inclusion (RFI), um fremde Server übernehmen zu können. Bei dieser Angriffsmethode geht es darum, Schwachstellen in skriptbasierenden Webanwendungen ausfindig zu machen und diese zu nutzen, um eigenen Code in ein laufendes Webserver-Skript einzuschleusen.
Während ein solches Angriffsszenario primär dann zum Einsatz kommt, wenn fremde Webanwendungen kontrolliert werden sollen, nutzte Lulzsec die Remote File Inclusion um fremde Server mit eigenen Bot-Anwendungen zu infizieren. Von diesen Servern wurden dann DDoS-Angriffe beispielsweise per UDP-Flooder gestartet.
Die Experten von Imperva möchten in ihrem Artikel den Unterschied eines Zombies mit einer herkömmlichen Internetanbindungen und einem Webserver verdeutlichen. Üblicherweise sind Server mit einer deutlich schnelleren Verbindung an das Netz angebunden. Imperva spricht davon, dass ein Server im Schnitt 3000 herkömmlichen Bots anderer Netze entsprechen kann.
Nach einer Reihe von erfolgreichen Angriffen haben die Köpfe hinter Lulz Security das Ende ihrer Aktivitäten als Gruppe mit dieser Bezeichnung Ende Juni bekannt gegeben. Als möglicher Grund für diese Entscheidung wird die Enttarnung von mehreren Mitgliedern angesehen.