脅威クラス・リスト
「WASC 脅威の分類」の概要です。これは、Web サイトや Web サイトのデータ、Web サイト・ユーザーのセキュリティー侵害の要因となり得る弱点および攻撃を分類する協調的な取り組みです。
http://projects.webappsec.org/w/page/13246978/Threat%20Classification
攻撃
名前 |
簡略説明 |
---|---|
機能の悪用 | Web サイトそのものの機構や機能を使って、アクセス制御メカニズムを消費、籠絡、または迂回する攻撃手法。 |
ブルート・フォース | 個人のユーザー名、パスワード、クレジット・カード番号、暗号鍵の推測に使用する、トライアル・アンド・エラーの自動プロセス。 |
バッファー・オーバーフロー | 割り当てられたバッファー・サイズを超えるデータでメモリーの一部を上書きすることで、アプリケーションの流れを変更する攻撃。 |
コンテンツ・スプーフィング | Web サイトに表示されているコンテンツが外部ソースに由来するものではない正当なコンテンツであるとユーザーに信じ込ませる攻撃技法。 |
資格情報/セッション予測 | 特定のセッションまたはユーザーを識別する固有な値を推定または推測することで、Web サイトのユーザーのコントロールを奪う、またはそのユーザーになりすますメソッド。 |
クロスサイト・スクリプティング | 攻撃者が組み込んだ実行可能コードを Web サイトで強制的にエコー出力させ、ユーザーのブラウザーにロードさせる攻撃手法。 |
クロスサイト・リクエスト・フォージェリー | 被害者としてアクションを実行するために、被害者に対して、被害者の認識や意図なしに HTTP 要求をターゲット宛先に送信するように強制する攻撃。 |
サービス拒否攻撃 | Web サイトの通常のユーザー処理の実行を妨害することを意図した攻撃手法。 |
フィンガー・プリンティング | 攻撃者の最も一般的な方法は、ターゲットの Web プレゼンスにまずフットプリントを付け、できるだけ多くの情報を列挙することです。攻撃者はこの情報を使用して、正確な攻撃シナリオを作成できます。このシナリオでは、ターゲット・ホストによって使用されているソフトウェアのタイプ/バージョンにおける脆弱性を効果的に悪用します。 |
書式文字列 | ストリング書式制御ライブラリー機能を使って他のメモリー・スペースにアクセスすることで、アプリケーションの流れを変更する攻撃。 |
HTTP レスポンス・スマグリング | サーバーから単一の応答を予期 (または許可) している中間 HTTP デバイスを通じて、サーバーからクライアントに 2 つの HTTP 応答を「スマグリング」(密輸) する手法です。 |
HTTP レスポンス分割 | HTTP レスポンス分割の基本は、攻撃者が Web サーバーに出力ストリームを形成させる単一の HTTP 要求を送信し、ターゲットにその出力を 1 つの HTTP 応答ではなく、2 つの HTTP 応答として解釈させることができるということです。 |
HTTP リクエスト・スマグリング | 2 つの HTTP デバイス間の RFC に準拠していない HTTP 要求の構文解析における矛盾を悪用する攻撃手法で、最初のデバイスを通じて 2 番目のデバイスに要求をスマグリングします。 |
HTTP リクエスト分割 | HTTP リクエスト分割は、ブラウザーに任意の HTTP 要求を送信するよう強制することができる攻撃で、XSS に負担をかけ、ブラウザーのキャッシュを汚染します。 |
整数オーバーフロー | 乗算や加算などの算術演算の結果が、保管に使用される整数型の最大サイズを超えている場合に生じる状態。 |
LDAP インジェクション | ユーザー入力から LDAP ステートメントを構成する Web サイトを不正に利用するための攻撃技法。 |
メール・コマンド・インジェクション | 適切にサニタイズされていないユーザーの入力から IMAP/SMTP ステートメントを組み立てる、メール・サーバーおよび Web メール・アプリケーションを悪用するために使用される攻撃手法。 |
Null バイト・インジェクション | URL エンコードされたヌル・バイト文字をユーザー・データに追加することで、Web インフラストラクチャー内の正常性チェック・フィルターを迂回するために使用されるアクティブな悪用技法。 |
OS コマンド実行 | アプリケーションの入力を操作することでオペレーティング・システムのコマンドを実行する攻撃手法で、Web サイトを悪用するために使用。 |
パス・トラバーサル | Web ドキュメントのルート・ディレクトリー以外に存在する可能性のあるファイル、ディレクトリー、コマンドに強制的にアクセスする手法です。 |
予測可能なリソースの位置 | 高度な推測によって、Web サイトの隠されたコンテンツや機能を明らかにするために使用される攻撃手法。 |
リモート・ファイルのインクルード | Web アプリケーションの「動的ファイルのインクルード」メカニズムを悪用するために使用される攻撃手法で、アプリケーションをだまして悪質なコードを含むリモート・ファイルを組み込ませます。 |
迂回ルーティング | 「中間者」攻撃の 1 タイプで、中間者を注入または「ハイジャック」して、機密メッセージを外部ロケーションにルーティングすることを可能にします。 |
セッションの固定 | ユーザーのセッション ID を強制的に明示的な値にする攻撃手法。ユーザーのセッション ID が固定された後、攻撃者はユーザーのログインを待ちます。ユーザーがログインすると、攻撃者は事前定義されたセッション ID の値を使ってユーザーのオンライン・アイデンティティーを装います。 |
脆弱パスワード・リカバリー検証 | Web サイトで別のユーザーのパスワードを攻撃者が不正に取得、変更、またはリカバリーできる場合。 |
SOAP 配列の悪用 | 配列を予期している Web サービスは、XML DoS 攻撃のターゲットとなる可能性があります。これは、SOAP サーバーにマシンのメモリー内に大量の配列を作成するよう強制し、メモリーの事前割り振りのためにマシン上の DoS 状態に負担をかけることによって実行されます。 |
SSI インジェクション | 攻撃者が Web アプリケーションにコードを送信できるようにするサーバー・サイドの攻撃手法。その後、Web サーバーがそのコードをローカルで実行。 |
SQL 注入 | ユーザー入力から SQL ステートメントを組み立てる、Web サイトを不正に利用するための攻撃手法。 |
URL リダイレクターの悪用 | URL リダイレクターは、着信要求を代替リソースに転送するために Web サイトによって使用される一般的な機能であり、フィッシング攻撃で使用される場合があります。 |
XPath 注入 | ユーザー入力から XPath 照会を構成する Web サイトを不正に利用するための攻撃技法。 |
XML 属性ブローアップ | XML パーサーに対するサービス妨害攻撃。 |
XML 外部エンティティー | この手法は、処理時に文書を動的にビルドする XML の機能を悪用します。XML メッセージは、データを明示的に提供するか、データが存在する URI を指すことでデータを提供することができます。この攻撃手法では、外部エンティティーがエンティティー値を悪質なデータや代替参照で置換したり、サーバーや XML アプリケーションがアクセス権を持つデータのセキュリティーを危険にさらしたりします。 |
XML エンティティーの拡張 | これは、文書の至るところで使用できる、エンティティーと呼ばれるカスタム・マクロを作成できるようにする XML DTD での機能を悪用します。攻撃者は、文書の上部にある一連のカスタム・エンティティーを再帰的に定義することにより、エンティティーの完全な解決を試行するパーサーに対し、再帰的な定義でほぼ無限に試行を繰り返すように強制して負担をかけます。 |
XML インジェクション | XML アプリケーションまたは XML サービスのロジックを操作または危険にさらすために使用される攻撃手法。意図していない XML コンテンツ、XML 構造、またはその両方を XML メッセージに注入することで、アプリケーションの意図されたロジックを変更できます。さらに、XML インジェクションにより、悪質なコンテンツを結果のメッセージや文書に挿入することができます。 |
XQuery インジェクション | XQuery インジェクションは、XML XQuery 言語に対する従来の SQL インジェクション攻撃のバリアントです。XQuery インジェクションは、不適切に検証されたデータを使用し、それが XQuery コマンドに渡されるようにします。 |
弱点
名前 |
簡略説明 |
---|---|
正しくないアプリケーション構成 | 以下の攻撃は、Web アプリケーションに見つかる構成の弱点を悪用します。 |
ディレクトリー索引付け | 自動ディレクトリー・リスト作成/索引作成は Web サーバーの機能で、通常の基本ファイル (index.html/home.html/default.htm) が存在しない場合に、要求したディレクトリー内のすべてのファイルをリストします。ソフトウェアに脆弱性がある状態で特定の Web 要求を実行すると、意図しないディレクトリー・リスト作成が可能になることがあります。 |
ファイル・システムへの不適切なアクセス許可 | Web アプリケーションの機密性、保全性、および可用性への脅威。この問題は、誤ったファイル・システム許可がファイル、フォルダー、およびシンボリック・リンクに対して設定されている場合に生じます。 |
不適切な入力処理 | 今日、アプリケーション全般で特定される最も一般的な弱点の 1 つです。不適切に処理された入力は、システムおよびアプリケーションに存在する重大な脆弱性の背後にある主な原因です。 |
不適切な出力処理 | アプリケーションに不適切な出力処理があると、出力データが取り込まれて、脆弱性やアプリケーション開発者が意図しないアクションを引き起す原因となる場合があります。 |
情報漏えい | アプリケーションが機密データ (Web アプリケーション、環境、およびユーザー固有のデータの技術的詳細など) を漏えいするアプリケーションの弱点。 |
セキュリティーで保護されていないインデックス作成 | Web サイトのデータ機密性に対する脅威。本来は公的にアクセスできないファイルにアクセスできるプロセスを介して Web サイトのコンテンツを索引付けすると、そのようなファイルの存在およびそれらの内容について情報が漏えいする恐れがあります。索引付けのプロセスでは、そのような情報が索引付けのプロセスにより収集されて保管されます。この情報は後から、通常は検索エンジンへの一連の照会により、強い意志を持った攻撃者が取得する可能性があります。 |
Insufficient Anti-automation | 手動でのみ実行すべきプロセスを、攻撃者が自動化できるような状態になっている Web サイト。 |
不適切な認証 | 適切な認証なしに重要なコンテンツまたは機能に攻撃者がアクセスすることを Web サイトが許可している場合。 |
不適切な許可 | 追加のアクセス制御による制限を必要とすべき、重要なコンテンツまたは機能へのアクセスを Web サイトが許可している状態。 |
不適切なパスワード復元 | Web サイトで別のユーザーのパスワードを攻撃者が不正に取得、変更、またはリカバリーできる場合。 |
不適切なプロセス検証 | アプリケーションの本来のフロー制御を攻撃者が迂回または回避できる状態になっている Web サイト。 |
不適切なセッション有効期限 | 許可用の古いセッション証明書またはセッション ID を攻撃者が再使用できる状態になっている Web サイト。 |
不十分なトランスポート層防御 | 信頼できないサード・パーティーに通信がさらされるのを許します。 |
正しくないサーバー構成 | Web サーバーおよびアプリケーション・サーバーで見つかる構成の弱点を悪用します。 |