威脅類別清單
「WASC 威脅分類」摘要,這是一份合作成果,用以分類可能導致危害網站、網站資料或使用者的弱點和攻擊。
http://projects.webappsec.org/w/page/13246978/Threat%20Classification
攻擊
名稱 |
簡要說明 |
|---|---|
| 功能濫用 | 這個攻擊技術利用網站本身的特性和功能,來耗用、詐騙或規避存取控制機制。 |
| 強制入侵 | 這是一個自動化的試誤法程序,用來猜測一個人的使用者名稱、密碼、信用卡號碼,或加密金鑰。 |
| 緩衝區溢位 | 這類攻擊利用資料來改寫記憶體的若干部分,且資料超出所配置的緩衝區大小,從而變更應用程式的流程。 |
| 內容偽裝 | 這是一種用來愚弄使用者的攻擊技術,讓使用者相信顯示在網站上的特定內容合法,且並非取自外部來源。 |
| 認證/階段作業預測 | 這是藉由演繹或猜測用來識別特定階段作業或使用者的唯一值,從而強制存取或假冒網站使用者的方法。 |
| 跨網站 Scripting | 這是一種強迫網站回應使用者瀏覽器所載入、攻擊者所提供之執行碼的攻擊技術。 |
| 偽造跨網站要求 | 在受害者不知情的情況下,強制傳送 HTTP 要求到目標目的地,以受害者的身分來執行動作的攻擊手法。 |
| 阻斷服務 | 這個攻擊技術意在阻止網站處理一般使用者活動。 |
| 產生指紋 | 攻擊者最常用的方法是先留下目標的 Web 存在足跡,並且盡可能地列舉出資訊。利用這些資訊,攻擊者就可以發展出精準的攻擊情境,有效地利用目標主機所使用的軟體類型/版本中的漏洞。 |
| 格式字串 | 這類攻擊利用字串格式化類別庫特性來存取其他記憶體空間,從而變更應用程式的流程。 |
| 走私 HTTP 回應 | 透過預期(或允許)來自伺服器單一回應的媒介 HTTP 裝置,從伺服器「走私」2 個 HTTP 回應到用戶端的技術。 |
| HTTP 回應分割 | 「分割 HTTP 回應」的本質是攻擊者可以傳送單一 HTTP 要求,強制 Web 伺服器組成輸出串流,然後讓目標解譯為二個 HTTP 回應,而不是一個。 |
| 走私 HTTP 要求 | 在剖析二個 HTTP 裝置之間非 RFC 符合的 HTTP 要求時,濫用其間的不相符,「透過」第一個裝置夾帶要求至第二個裝置的攻擊技術。 |
| 分割 HTTP 要求 | 「分割 HTTP 要求」是可以強制瀏覽器傳送任意的 HTTP 要求,導致 XSS 和瀏覽器快取中毒的攻擊。 |
| 整數溢位 | 當算術運算(例如,乘法或加法)的結果超過了用以儲存的整數類型大小上限時所發生的狀況。 |
| LDAP 注入 | 這種攻擊技術會不當運用以使用者提供的輸入建構 LDAP 陳述式的網站。 |
| 郵件指令注入 | 這種攻擊技術會利用使用者提供且未經消毒的輸入內容來建構 IMAP/SMTP 陳述式,得以不當運用郵件伺服器和 Web 郵件應用程式。 |
| 空值位元組注入 | 這種主動式不當運用技術可以將 URL 編碼的空值位元組字元加入使用者提供的資料中,得以避開 Web 基礎架構中的消毒檢查過濾器。 |
| OS 接管 | 這個攻擊技術藉由操作應用程式輸入來執行作業系統指令,從而得以不當運用網站。 |
| 路徑遍訪 | 這是一種強制存取可能在 Web 文件根目錄外的檔案、目錄和指令的技術。 |
| 可預測的資源位置 | 這是一種依據經驗猜測,用來揭露隱藏的網站內容和功能的攻擊技術。 |
| 併入遠端檔案 | 這種攻擊技術會不當運用 Web 應用程式中的「動態檔案併入」機制,欺騙應用程式併入含有惡意程式碼的遠端檔案。 |
| 遞送繞道 | 這是「中間第三人」的攻擊類型,可以注入或「強制存取」媒介,將機密訊息遞送到外部位置。 |
| 階段作業固定 | 這是一種強制使用者階段作業 ID 成為某個明確值的攻擊技術。使用者的階段作業 ID 固定之後,攻擊者便等待他們登入。使用者登入之後,攻擊者便利用預先定義的階段作業 ID 值來奪取他們的線上身分。 |
| 低保護性密碼回復驗證 | 當網站允許攻擊者不合法地取得、變更或回復另一位使用者的密碼時,便出現這個情況。 |
| 濫用 SOAP 陣列 | 預期接受陣列的 Web 服務可能會成為 XML DoS 攻擊的目標,利用強制 SOAP 伺服器在機器的記憶體中建置巨大的陣列,導致因為記憶體預先配置而在機器上發生 DoS 狀況。 |
| SSI 注入 | 這是一種伺服器端不當運用的技術,可讓攻擊者將程式碼傳入 Web 應用程式,以便 Web 伺服器稍後在本端執行它。 |
| SQL 注入 | 這個攻擊技術從使用者提供的輸入建構 SQL 陳述式,從而得以不當運用網站。 |
| URL 重新導向程式不當使用 | URL 重新導向程式代表網站用以將送入的要求轉遞給替代資源的一般功能,可能會被用於網路釣魚攻擊。 |
| XPath 注入 | 這種攻擊技術會不當運用以使用者提供的輸入建構 XPath 查詢的網站。 |
| XML 屬性爆炸 | 針對 XML 剖析器的阻斷服務攻擊。 |
| XML 外部實體 | 這種技術會利用 XML 的特性,在處理時動態建置文件。XML 訊息可以明確地提供資料,或指向資料所在的 URI。在攻擊技術中,外部實體可能會以惡意資料、替代轉介來取代實體值,或者可能危害伺服器/XML 應用程式可存取的資料安全性。 |
| XML 實體展開 | 不當運用 XML DTD 可以建立自訂巨集、被呼叫實體而且可透過文件使用的功能。利用在文件頂端遞迴定義一組自訂實體,攻擊者可以強制剖析器幾乎是無限地反覆運算這些遞迴定義,而使試圖完全解析實體的剖析器摧垮。 |
| XML 注入 | 這種攻擊技術會操作或危害 XML 應用程式或服務的邏輯。將不想要的 XML 內容及/或結構注入 XML 訊息,可能會改變應用程式原有的邏輯。更進一步,XML 注入可能會讓惡意內容插入產生的訊息/文件中。 |
| XQuery 注入 | 「XQuery 注入」是典型 SQL 注入攻擊的變形,專門針對 XML XQuery 語言。「XQuery 注入」會利用傳遞給 XQuery 指令的不當驗證的資料。 |
弱點
名稱 |
簡要說明 |
|---|---|
| 應用程式配置錯誤 | 這些攻擊會不當運用在 Web 應用程式中發現的配置弱點。 |
| 目錄檢索 | 自動化目錄清單/檢索是一項 Web 伺服器功能,如果正常的基本檔案 (index.html/home.html/default.htm) 不存在,便會列出要求之目錄中的所有檔案。軟體漏洞與特定的 Web 要求結合起來,便可能非預期地取得目錄清單。 |
| 不當的檔案系統許可權 | 對於 Web 應用程式的機密性、完整性和可用性的威脅。如果檔案、資料夾和符號鏈結設定了不正確的檔案系統許可權,就會發生問題。 |
| 不當輸入處理 | 這是現在所有應用程式之間最常被識別出來的弱點之一。輸入內容處理不足是系統和應用程式中存在重大漏洞的主因。 |
| 不當輸出處理 | 如果應用程式輸出處理不當,輸出資料可能會被利用而導致漏洞及產生絕非應用程式開發者所想要的動作。 |
| 資訊洩漏 | 應用程式會揭露機密資料(例如 Web 應用程式的技術詳細資料、環境或使用者特定的資料)的應用程式弱點。 |
| 不安全檢索 | 對於網站資料機密性的威脅。透過具備檔案存取權的程序為網站內容編製索引,且該檔案不應為可供公開存取的狀態,則這類檔案存在和檔案內容的相關資訊則可能遭到洩漏。在檢索的過程中,檢索程序會收集和儲存這些資訊,意志堅定的攻擊者就可以擷取這些資訊,通常是透過一系列的搜尋引擎查詢。 |
| 反自動化不足 | 這是指僅應手動執行的程序,網站允許攻擊者以自動化方式來執行。 |
| 鑑別不足 | 當網站允許攻擊者未經適當鑑別,就存取機密內容或功能時,便出現這個情況。 |
| 授權不足 | 當網站允許存取的機密內容或功能,應該要求增強的存取控制限制時,便出現這個情況。 |
| 密碼回復不足 | 當網站允許攻擊者不合法地取得、變更或回復另一位使用者的密碼時,便出現這個情況。 |
| 程序驗證不足 | 這是指網站允許攻擊者略過或規避預期的應用程式流程控制。 |
| 階段作業期限不足 | 當網站允許攻擊者重複使用舊的階段作業認證或階段作業 ID 來進行授權時,便出現這個情況。 |
| 傳輸層保護不足 | 使通訊內容曝露給不受信任的第三方。 |
| 伺服器配置錯誤 | 不當運用在 Web 伺服器和應用程式伺服器中發現的配置弱點。 |