Liste des risques
Nom du risque |
Description |
|---|---|
| tempScriptDownload | Il est possible de télécharger des fichiers script temporaires pouvant exposer la logique de l'application et d'autres informations sensibles, telles que les noms d'utilisateur et les mots de passe. |
| sourceCodeDisclosure | Il est possible d'extraire le code source des scripts côté serveur, ce qui peut exposer la logique de l'application et d'autres informations sensibles, telles que les noms d'utilisateur et les mots de passe. |
| pathDisclosure | Il est possible d'extraire le chemin d'accès absolu de l'installation du serveur Web, ce qui peut aider un pirate à développer d'autres attaques et à obtenir des informations sur la structure du système de fichiers de l'application Web. |
| directoryListing | Il est possible de visualiser et de télécharger le contenu de certains répertoires virtuels de l'application Web pouvant contenir des fichiers restreints. |
| envVariablesExposure | Il est possible d'exposer des variables d'environnement du serveur pouvant aider un pirate à développer d'autres attaques contre l'application Web. |
| anyFileDownload | Il est possible de visualiser le contenu de n'importe quel fichier (par exemple, des fichiers de bases de données, d'informations utilisateur ou de configuration) sur le serveur Web (en fonction de la restriction des droits de l'utilisateur du serveur Web). |
| userImpersonation | Il est possible de voler la session et les cookies d'un client et de les utiliser pour emprunter l'identité d'un utilisateur légitime, ce qui peut permettre à un pirate de visualiser ou de modifier des enregistrements utilisateur et de réaliser des transactions en tant qu'utilisateur. |
| remoteCommandExecution | Il est possible d'exécuter des commandes à distance sur le serveur Web. Cela signifie généralement la compromission totale du serveur et de son contenu. |
| cacheFilesDownload | Il est possible de visualiser le contenu des fichiers cache pouvant contenir des informations sensibles concernant l'application Web. |
| debugErrorInformation | Il est possible de rassembler des informations de débogage sensibles. |
| eShoplifting | Il est possible de voler des biens et des services (eShoplifting - vol à l'étalage sur le Web). |
| denialOfService | Il est possible d'empêcher l'application Web de servir d'autres utilisateurs (refus de service). |
| privilegeEscalation | Il est possible de transférer des droits utilisateur et d'obtenir des droits administrateur sur l'application Web. |
| genericWorstCase | Il est possible de nuire à la logique de l'application. |
| configurationFile Téléchargeable |
Il est possible de télécharger ou de visualiser le contenu d'un fichier de configuration pouvant contenir des informations vitales, telles que les noms d'utilisateur et les mots de passe. |
| sensitiveInformation | Il est possible de rassembler des informations sensibles relatives à l'application Web, telles que les noms utilisateur, les mots de passe, le nom de la machine et/ou les emplacements des fichiers sensibles. |
| genericWorstCaseJavaScript™ | Il est possible d'exploiter JavaScript. L'étendue du risque dépend du contexte de la page modifiée côté client. |
| genericWorstCaseJSCookie | Il est possible d'exploiter le code JSCookie. L'étendue du risque dépend du contexte et du rôle des cookies créés côté client. |
| emailSpoofing | Il est possible d'envoyer des messages électroniques via votre application Web à l'aide des adresses électroniques usurpées. |
| siteDefacement | Il est possible de télécharger, modifier ou supprimer des pages Web, des scripts et des fichiers sur le serveur Web. |
| databaseManipulations | Il est possible de visualiser, modifier ou supprimer des entrées de base de données et des tables (Injection SQL). |
| authBypass | Il est possible de contourner le mécanisme d'authentification de l'application Web. |
| siteStructureRevealed | Il est possible d'extraire des informations relatives à la structure du système de fichiers du site, ce qui facilite le mappage du site par le pirate. |
| publisherInformation Révélé |
Il est possible d'extraire des informations de publication FrontPage sensibles. |
| dataResourceDownload | Il est possible d'accéder aux informations stockées dans une ressource de données sensibles. |
| sensitiveNotOverSSL | Il est possible de voler des données sensibles envoyées non chiffrées, telles que des numéros de carte de crédit, des numéros de sécurité sociale, etc. |
| loginNotOverSSL | Il est possible de voler des informations de connexion envoyées non chiffrées, telles que des noms utilisateur et des mots de passe. |
| unsecureCookieInSSL | Il est possible de voler des informations relatives à l'utilisateur ou à la session (cookies) qui ont été envoyées lors d'une session codée. |
| sessionCookieNotRAM | Il est possible de voler des informations de session (cookies) conservées sur le disque en tant que cookies permanents. |
| phishing | Il est possible de persuader un utilisateur naïf de fournir des informations sensibles telles qu'un nom utilisateur, un mot de passe, un numéro de carte de crédit, un numéro de sécurité sociale, etc. |
| cachePoisoning | Il est possible d'altérer le contenu du site par l'empoisonnement du cache Web. |
| attackFacilitation | Il est possible qu'un pirate utilise le serveur Web pour attaquer d'autres sites et augmente ainsi son autonomie. |
| maliciousContent | n/a |
| clientCodeExecution | Il est possible d'exécuter du code arbitraire des clients de l'application Web. |
| siteImpersonation | En utilisant des vecteurs d'attaque supplémentaires, un agresseur informatique malveillant a la possibilité de simuler ce site. |