WASC 威胁分类 V2.0 报告

该报告会显示站点上找到的 WASC 威胁分类问题。

它为什么重要

“Web 应用程序安全协会”(WASC)是由专家、行业实践者和组织代表组成的国际性小组,他们提出开放式源代码以及广泛同意的万维网的最佳做法安全性标准。

Web 安全漏洞会持续影响 Web 站点的风险。确定任何 web 安全漏洞时,执行攻击需要使用至少若干种应用程序攻击技术之一。这些方法通常称为攻击类(对安全漏洞加以利用的方式)。

WASC Web 应用程序威胁分类列表

功能滥用:功能滥用是利用 Web 站点自身的特性和功能来使用、欺骗或阻挠访问控制机制的一种攻击方法。

暴力:“暴力”攻击是指猜测个人的用户名、密码、信用卡号或密钥所使用的自动化反复试验过程。

缓冲区溢出:“缓冲区溢出”利用是指通过覆盖部分内存来改变应用程序流的攻击。

内容电子欺骗:内容电子欺骗是用于骗取用户相信 Web 站点上出现的某些内容合法且不是来自外部源的一种攻击方法。

凭证/会话预测:凭证/会话预测是一种操纵或假冒 Web 站点用户的方法。推断或猜测识别特定会话或用户的唯一值,以完成攻击。

跨站点脚本编制:跨站点脚本编制 (XSS) 是一种强制 Web 站点回传攻击者提供的可执行代码(装入在用户浏览器中)的攻击方法。受跨站点脚本影响的用户的帐户可能会受操纵(cookie 盗用),其浏览器可能会重定向到其他位置,或者可能显示用户正在访问的 Web 站点所提供的欺骗性内容。

拒绝服务:“拒绝服务”(DoS)攻击技术目的是阻止 Web 站点为一般用户活动提供服务。

目录索引:“自动目录列表/索引”是 Web 服务器功能,如果未提供常规基础文件(index.html/home.html/default.htm),那么该功能会列出所请求目录中的所有文件。

格式字符串攻击:“格式字符串攻击”通过使用字符串格式化库功能访问其他内存空间来修改应用程序流。

信息泄露:“信息泄露”指 Web 站点显示可能会协助攻击者攻击系统的敏感数据(如开发者注释或错误消息)时出现的漏洞。

不充分反自动化:不充分反自动化是当 Web 站点允许攻击者将应当仅手动执行的过程自动化时产生的结果。

认证不充分:认证不充分是指 Web 站点允许攻击者访问敏感内容或功能,而未对其访问许可权进行适当认证时出现的漏洞。

授权不充分:授权不充分是指 Web 站点允许访问敏感内容或功能,而这些内容或功能需要增加访问控制限制时出现的漏洞。

不充分过程验证:不充分过程验证是当 Web 站点允许攻击者绕过或规避应用程序的预期流控制时出现的漏洞。

会话有效期不足:会话有效期不足是当 Web 站点允许攻击者复用旧会话标识进行授权时出现的漏洞。会话有效期不足将增加 Web 站点受攻击(窃取或假冒其他用户)的可能性。

LDAP 注入:LDAP 注入是一种攻击方法,它通过用户提供的输入来构造轻量级目录访问控制 (LDAP) 语句,从而攻击 Web 站点。

操作系统命令:操作系统命令是用于通过操纵应用程序输入来执行操作系统命令,从而对 Web 站点进行攻击的一种方法。

路径遍历:路径遍历攻击方法会强制访问可能位于文档根目录外的文件、目录和命令。攻击者可能会通过以下方法来操纵 URL:Web 站点将运行或显示 Web 服务器上任何位置任意文件的内容。

可预测资源位置:可预测资源位置是用于显示隐藏 Web 站点内容和功能的一种攻击方法。通过有根据的猜测,就可以知道攻击是强行搜索,以查找不打算供公共查看的内容。临时文件、备份文件、配置文件和样本文件这些示例,都是潜在的剩余文件。

会话固定:“会话固定”攻击技术会强制赋予用户的会话标识一个确值。

SQL 注入:SQL 注入是一种攻击方法,它通过用户提供的输入来构造 SQL 语句,从而攻击 Web 站点。

SSI 注入:SSI 注入(服务器端包含)是一种服务器端攻击方法,该方法允许攻击者将代码发送到随后将由 Web 服务器在本地执行的应用程序。

弱密码恢复验证:弱密码恢复验证是指当 Web 站点允许攻击者非法获取、更改或恢复其他用户的密码时出现的漏洞。

XPath 注入:XPath 注入是一种攻击方法,它从由用户提供的输入构造 XPath 查询,从而攻击 Web 站点。