「WASC 脅威の分類 v2.0」レポート
このレポートには、Web サイトで見つかった WASC 脅威の分類に関する問題が示されます。
問題点
Web Application Security Consortium (WASC) は、オープン・ソースを作成し、ワールド・ワイド・ウェブ (WWW) のベスト・プラクティス・セキュリティー規格に合意する専門家、業者、および組織の代表から成る国際的な団体です。Web セキュリティーの脆弱性は、常に、Web サイトのリスクに影響を与えます。Web セキュリティーのぜい弱性が特定された場合、攻撃を実行するには、複数あるアプリケーション攻撃技法のうち 1 つ以上を使用する必要があります。これらの手法は一般的に、 攻撃のクラス (セキュリティー脆弱性を活用する方法) と呼ばれています。
WASC Web アプリケーション脅威の分類リスト
機能の悪用 (Abuse of Functionality): 機能の悪用は、Web サイト自体の機能を使用して、アクセス制御メカニズムを取り込んだり、かいくぐったり、阻止したりする攻撃技法です。
総当り攻撃 (Brute Force): 総当り攻撃は、個人のユーザー名、パスワード、クレジットカード番号、暗号鍵の推定に使用される自動化された試行錯誤プロセスです。
バッファー・オーバーフロー (Buffer Overflow): バッファー・オーバーフローとは、メモリーの一部を上書きすることによってアプリケーションのフローを変更する攻撃技法です。
コンテンツ・スプーフィング (Content Spoofing): コンテンツ・スプーフィングとは、Web サイトに表示されているコンテンツが外部ソースに由来するものではない正当なコンテンツであるとユーザーに信じ込ませる攻撃技法です。
資格情報/セッション予測 (Credential/Session Prediction): 資格情報/セッション予測とは、ハイジャックまたは Web サイト・ユーザーの偽名を使用する方法です。特定のセッションやユーザーを識別する 固有値を推定することによって、攻撃します。
クロスサイト・スクリプティング (Cross-site Scripting): クロスサイト・スクリプティング (XSS) とは、攻撃者から提供された実行可能コードを Web サイトでそのまま書き出すように強制設定することによって、そのコードをユーザーの Web ブラウザーで実行する攻撃技法です。クロスサイト・スクリプティングによって攻撃されたユーザーは、アカウントをハイジャックされていたり (Cookie 盗難)、ブラウザーが別の場所にリダイレクトされていたり、アクセスしている Web サイトに不正なコンテンツが表示されたりしている可能性があります。
サービス妨害 (Denial of Service): サービス妨害 (DoS) は、Web サイトでの通常のユーザー・アクティビティーを妨害する攻撃技法です。
ディレクトリー索引付け (Directory Indexing): 自動ディレクトリー・リスト作成/索引作成はサーバーの機能で、通常の基本ファイル (index.html/home.html/default.htm) が存在しない場合に、要求したディレクトリー内のすべてのファイルをリストします。
書式文字列攻撃 (Format String Attack): 書式文字列攻撃は、文字列書式制御ライブラリーの機能を使って他のメモリー・スペースにアクセスすることで、アプリケーションのフローを変更します。
情報漏えい (Information Leakage): 情報漏えいとは、攻撃者がシステムを不正に利用する原因となる、開発者コメントやエラー・メッセージなどの機密データが Web サイトで公開されることです。
自動化の停止が不適切 (Insufficient Anti-automation): 自動化の停止が不適切とは、手動でのみ実行するべきプロセスを攻撃者が自動化してしまうことが可能な Web サイトの状態のことです。
不適切な認証 (Insufficient Authentication): 不適切な認証とは、攻撃者のアクセス許可の認証が適切に行われないために、攻撃者が機密性の高いコンテンツや機能にアクセスすることが可能になっている Web サイトの状態のことです。
不適切な許可 (Insufficient Authorization): 不適切な許可とは、より厳しいアクセス制御による制限が必要な機密性の高いコンテンツや機能へのアクセスが可能になっている Web サイトの状態のことです。
不適切なプロセス検証 (Insufficient Process Validation): 不適切なプロセス検証とは、攻撃者がアプリケーションの本来のフロー制御をバイパスまたは迂回することが可能になっている Web サイトの状態のことです。
不適切なセッション有効期限 (Insufficient Session Expiration): 不適切なセッション有効期限とは、攻撃者が許可のために古いセッション資格情報またはセッション ID を再利用することが可能になっている Web サイトの状態のことです。不適切なセッション有効期限によって、Web サイトが盗みや他のユーザーの偽名の使用などの攻撃を受ける可能性が高くなります。
LDAP 注入 (LDAP Injection): LDAP 注入とは、ユーザー入力から Lightweight Directory Access Protocol (LDAP) ステートメントを構成する Web サイトを不正に利用するための攻撃技法です。
OS コマンド実行 (OS Commanding): OS コマンド実行は、アプリケーション入力を操作してオペレーティング・システム・コマンドを実行することによって、Web サイトを不正に利用するための攻撃技法です。
パス・トラバーサル (Path Traversal): パス・トラバーサルとは、文書のルート・ディレクトリーの外部にある可能性があるファイル、ディレクトリー、およびコマンドへのアクセスを強制設定する攻撃技法です。攻撃者は、Web サイトで Web サーバー内の任意のファイルのコンテンツが実行または公開されるよう、URL を操作することがあります。
予測可能なリソースの位置 (Predictable Resource Location): 予測可能なリソースの位置とは、Web サイトの隠しコンテンツや隠し機能を見つけ出すための攻撃技法です。この攻撃では、知識に基づく推定によって、公開を意図していないコンテンツを総当たりで検索します。一時ファイル、バックアップ・ファイル、構成ファイル、および サンプル・ファイルは、すべて余剰ファイルとなる可能性があります。
セッション固定 (Session Fixation): セッション固定とは、ユーザーのセッション ID を強制的に明示的な値にする攻撃技法です。
SQL 注入 (SQL Injection): SQL 注入とは、ユーザー入力から SQL ステートメントを構成する Web サイトを不正に利用するための攻撃技法です。
SSI 注入 (SSI Injection): SSI 注入 (サーバー・サイド・インクルード) とは、攻撃者がアプリケーションにコードを送信し、そのコードが後で Web サーバーによってローカルで実行されるサーバー側の攻撃技法です。
脆弱パスワード・リカバリー検証 (Weak Password Recovery Validation): 脆弱パスワード・リカバリー検証とは、攻撃者による他のユーザーのパスワードの不正な取得、変更、またはリカバリーが可能になっている Web サイトの状態のことです。
XPath 注入 (XPath Injection): XPath 注入とは、ユーザー入力から XPath 照会を構成する Web サイトを不正に利用するための攻撃技法です。