威胁类列表
WASC 威胁分类的汇总,旨在努力配合将可导致危害 Web 站点、其数据或其用户的漏洞和攻击加以分类。
http://projects.webappsec.org/w/page/13246978/Threat%20Classification
攻击
名称 |
简短描述 |
|---|---|
| 功能滥用 | 一种使用 Web 站点的自身特性和功能来对访问控制机制进行消耗、欺骗或规避的攻击方法。 |
| 暴力攻击 | 猜测个人的用户名、密码、信用卡号或密钥所使用的自动化反复试验过程。 |
| 缓冲区溢出 | 通过覆盖内存中超过所分配缓冲区大小的部分的数据来修改应用程序流的攻击。 |
| 内容电子欺骗 | 用于诱骗用户相信 Web 站点上出现的某些内容是合法、且不是来自外部源的内容的一种攻击方法。 |
| 凭证/会话预测 | 一种通过推断或猜测用于识别特定会话或用户的唯一值来盗取或仿冒 Web 站点用户的方法。 |
| 跨站点脚本编制 | 一种强制 Web 站点回传攻击者提供的可执行代码(装入到用户浏览器中)的攻击方法。 |
| 跨站点请求伪造 | 一种涉及强制受害者在目标不知情或无意愿的情况下向其发送 HTTP 请求,以便以受害者身份执行操作的攻击。 |
| 拒绝服务 | 一种旨在阻止 Web 站点为正常用户活动提供服务的攻击方法。 |
| 指纹 | 攻击者的最常用方法是首先占用目标的 Web 范围,然后枚举尽可能多的信息。通过此信息,攻击者可以制定将有效利用目标主机所使用的软件类型/版本中的漏洞的准确攻击方案。 |
| 格式字符串 | 通过使用字符串格式化库功能访问其他内存空间来修改应用程序流的攻击。 |
| HTTP 响应走私 | 一种通过期望(或允许)来自服务器的单个响应的中间 HTTP 设备将来自该服务器的 2 个 HTTP 响应“走私”到客户机的方法。 |
| HTTP 响应分割 | HTTP 响应分割的实质是攻击者能够发送会强制 Web 服务器形成输出流的单个 HTTP 请求,然后该输出流由目标解释为两个而不是一个 HTTP 响应。 |
| HTTP 请求走私 | 一种滥用两台 HTTP 设备之间的非 RFC 兼容 HTTP 请求的解析差异来“通过”第一台设备将请求走私到第二台设备的攻击方法。 |
| HTTP 请求分割 | HTTP 请求分割是一种实现强制浏览器发送任意 HTTP 请求,从而施加 XSS 和毒害浏览器缓存的攻击。 |
| 整数溢出 | 当算术运算(如乘法或加法)的结果超过用于存储该运算的整数类型的最大大小时发生的情况。 |
| LDAP 注入 | 用于对通过用户提供的输入来构造 LDAP 语句的 Web 站点加以利用的攻击方法。 |
| 邮件命令注入 | 一种用于对通过用户提供的未适当清理的输入来构造 IMAP/SMTP 语句的邮件服务器和 Web 邮件应用程序加以利用的攻击方法。 |
| 空字节注入 | 一种用于通过将 URL 编码的空字节字符添加到用户提供的数据来绕过 Web 基础结构中的清理检查过滤器的主动攻击方法。 |
| 操作系统命令 | 一种用于通过操纵应用程序输入来执行操作系统命令,从而对 Web 站点加以利用的攻击方法。 |
| 路径遍历 | 这是一种强制对可能驻留在 Web 文档根目录外的文件、目录和命令进行访问的方法。 |
| 可预测的资源位置 | 一种用于通过做出有根据的猜测来显露所隐藏 Web 站点内容和功能的攻击方法。 |
| 远程文件包含在内 | 一种用于利用 Web 应用程序中的“动态文件包含”机制骗取应用程序包含具有恶意代码的远程文件的攻击方法。 |
| 路由迂回 | 一种可以注入或“劫持”中介以将敏感信息路由到外部位置的“中间人”攻击。 |
| 会话定置 | 将用户的会话标识强制变为显式值的一种攻击方法。在用户的会话标识定置后,攻击者会等待其登录。一旦用户进行登录,攻击者就会使用预定义的会话标识值来夺取其在线身份。 |
| 弱密码恢复验证 | 当 Web 站点允许攻击者非法获取、更改或恢复其他用户的密码时发生。 |
| SOAP 数组滥用 | 一种期望数组可以是 XML DoS 攻击目标的 Web Service,方法是强制 SOAP 服务器在机器内存中构建巨大的数组,从而因内存预分配而在机器上施加 DoS 条件。 |
| SSI 注入 | 一种服务器端利用技术,攻击者通过它可以将代码发送到 Web 应用程序中,Web 服务器稍后将在本地执行此代码。 |
| SQL 注入 | 一种用于对通过用户提供的输入来构建 SQL 语句的 Web 站点加以利用的攻击方法。 |
| URL 重定向器滥用 | URL 重定向器表示 Web 站点采用的将入局请求转发到备用资源的常见功能,并且可在钓鱼攻击中使用。 |
| XPath 注入 | 用于对通过用户提供的输入来构造 XPath 查询的 Web 站点加以利用的一种攻击方法。 |
| XML 属性爆发 | 一种针对 XML 解析器的拒绝服务攻击。 |
| XML 外部实体 | 此方法利用 XML 的功能在处理时动态构建文档。XML 消息可以显式或者通过指向数据存在的 URI 来提供数据。在此攻击方法中,外部实体可以将实体值替换为恶意数据或备用引荐,或者可能危害服务器/XML 应用程序有权访问的数据的安全性。 |
| XML 实体扩展 | 此方法对 XML DTD 中允许创建可在文档各处使用的定制宏(称为实体)的功能加以利用。通过以递归方式定义文档顶部的定制实体集,攻击者可以淹没尝试强制实体几乎无限迭代这些递归定义来完全解析实体的解析器。 |
| XML 注入 | 一种用于操纵或破坏 XML 应用程序或服务的逻辑的攻击方法。将非意图 XML 内容和/或结构注入到 XML 消息中会变更应用程序的意图逻辑。此外,XML 注入还可导致将恶意内容插入到产生的消息/文档中。 |
| XQuery 注入 | XQuery 注入是针对 XML XQuery 语言的经典 SQL 注入攻击的变体。XQuery 注入使用传递到 XQuery 命令的未适当验证的数据。 |
漏洞
名称 |
简短描述 |
|---|---|
| 应用程序配置错误 | 这些攻击对 Web 应用程序中找到的配置漏洞加以利用。 |
| 目录索引 | 自动目录列表/索引是一项 Web 服务器功能,此功能会在没有常规基础文件(index.html/home.html/default.htm)的情况下列出所请求目录内的所有文件。由于与特定 Web 请求相结合的软件漏洞,因此可能会列出意外目录。 |
| 文件系统许可权不当 | 对 Web 应用程序的机密性、完整性和可用性的威胁。当在文件、文件夹和符号链接上设置的文件系统许可权不正确时会发生此问题。 |
| 输入处理不当 | 如今在应用程序之间识别的最常见漏洞之一。输入处理不当是系统和应用程序中存在的关键漏洞的主要原因。 |
| 输出处理不当 | 如果应用程序未适当处理输出,那么输出数据的使用可能会导致应用程序开发者从未意图的漏洞和操作。 |
| 信息泄露 | 一种应用程序会揭示敏感数据(如 Web 应用程序、环境或特定于用户的数据的技术详细信息)的应用程序漏洞。 |
| 不安全索引 | 对 Web 站点的数据机密性的威胁。通过对本不应公开可访问的文件具有访问权的过程来索引 Web 站点内容有可能会泄露有关此类文件的存在性和有关其内容的信息。在建立索引的过程中,此类信息通过索引过程进行收集和存储,有决心的攻击者之后通常可以通过对搜索引擎的一系列查询来检索此类信息。 |
| 不充分反自动化 | 当 Web 站点允许攻击者将仅应手动执行的过程自动化时发生。 |
| 不充分认证 | Web 站点允许攻击者访问敏感内容或功能而不必进行适当认证。 |
| 不充分授权 | 当 Web 站点允许对应该需要更强访问控制限制的敏感内容或功能进行访问时发生。 |
| 不充分密码恢复 | 当 Web 站点允许攻击者非法获取、更改或恢复其他用户的密码时发生。 |
| 不充分过程验证 | 当 Web 站点允许攻击者绕过或规避应用程序的预期流控制时发生。 |
| 不充分会话到期 | 当 Web 站点允许攻击者复用旧的会话凭证或会话标识来进行授权时发生。 |
| 传输层保护不足 | 允许向不可信第三方显示通信。 |
| 服务器配置错误 | 利用在 Web 服务器和应用程序服务器中找到的配置漏洞。 |