Liste des classes de menaces
La classification des menaces par le consortium WASC est un travail collaboratif visant à catégoriser les failles et les attaques pouvant compromettre un site Web, ses données ou ses utilisateurs. Vous trouverez plus de détails sur la classification des menaces par le consortium WASC sur le site suivant : http://projects.webappsec.org/w/page/13246978/Threat%20Classification
AppScan Standard n'utilise pas toutes les classifications de menace WASC. Des classifications supplémentaires (par exemple, Server-side Request Forgery), qui ne font pas partie de WASC, sont également incluses. Utilisez la valeur dans la colonne Classe de menaces AppScan Standard de votre rapport défini par l'utilisateur.
| Classification WASC | Classe de menaces AppScan Standard | Description |
|---|---|---|
| Abus de fonctionnalité | catAbuseOfFunctionality | Technique d'attaque qui utilise les caractéristiques et fonctionnalités d'un site Web pour se servir des mécanismes de contrôle d'accès, les utiliser de façon frauduleuse ou les faire échouer. |
| Problème de configuration de l'application | catApplicationMisconfiguration | Ces attaques tirent parti des failles de configuration détectées dans les applications Web. |
| Force brute | catBruteForce | Processus automatique par tâtonnement pour deviner le nom d'utilisateur, le mot de passe, le numéro de carte de crédit ou une clé cryptographique. |
| Dépassement de la mémoire tampon | catBufferOverflow | Attaques qui altèrent le flux d'une application en écrasant des parties de la mémoire avec des données dépassant la taille allouée à la mémoire tampon. |
| Usurpation de contenu | catContentSpoofing | Technique d'attaque utilisée pour tromper un utilisateur et lui faire croire que le contenu qui apparaît sur un site Web est légitime et ne provient pas d'une source externe. |
| Prédiction des données d'identification/session | catCredentialSessionPrediction | Méthode de détournement ou d'usurpation d'identité pratiquée à l'encontre d'un utilisateur de site Web en déduisant ou devinant la valeur unique qui identifie une session ou un utilisateur spécifiques. |
| Falsification de requêtes intersite | catCrossSiteRequestForgery | Attaque qui consiste à forcer une victime à envoyer une requête HTTP vers une destination cible, sans qu'elle n'en aie ni connaissance ni intention, afin d'effectuer une action en se faisant passer pour la victime. |
| Attaque par script intersite | catCrossSiteScripting | Technique d'attaque qui force un site Web à relayer le code exécutable fourni par le pirate, qui se charge dans le navigateur de l'utilisateur. |
| Déni de service | catDenialOfService | Technique d'attaque destinée à empêcher un site Web de fournir le service normal aux utilisateurs. |
| Indexation de répertoire | catDirectoryIndexing | L'indexation automatique de répertoire est une fonction de serveur Web qui liste tous les fichiers du répertoire demandé si le fichier de base normal (index.html/home.html/default.htm) n'est pas présent. Des vulnérabilités logicielles combinées à une demande Web spécifique peuvent occasionner un listage involontaire des répertoires. |
| Fingerprinting | catFingerprinting | La méthodologie la plus couramment utilisée par les pirates consiste d'abord à observer la présence internet de la cible et de rassembler le plus d'informations possible. Avec ces informations, l'agresseur peut développer un scénario d'attaque précis, qui exploitera efficacement une vulnérabilité du type ou de la version du logiciel utilisé par l'hôte cible. |
| Chaîne de format | catFormatStringAttack | Attaques qui altèrent le flux d'une application en utilisant des fonctions de bibliothèque de formatage de chaîne pour accéder à davantage d'espace mémoire. |
| Dissimulation de requête HTTP | catHTTPRequestSmuggling | Technique d'attaque qui utilise les incohérences dans l'analyse des demandes HTTP non conformes à RFC entre deux périphériques HTTP pour faire passer une demande au deuxième périphérique "au travers" du premier. |
| Fractionnement de demande HTTP | catHTTPRequestSplitting | Le fractionnement de demande HTTP est une attaque qui force le navigateur à envoyer des demandes HTTP arbitraires, ce qui met en oeuvre la technique cross-site scripting (XSS) et empoisonne le cache du navigateur. |
| Dissimulation de réponse HTTP | catHTTPResponseSmuggling | La dissimulation de réponses HTTP est une technique permettant de "faire passer" 2 réponses HTTP d'un serveur à un client, via un périphérique HTTP intermédiaire qui attend (ou permet) une réponse unique du serveur. |
| Fractionnement de réponse HTTP | catHTTPResponseSplitting | Le fractionnement de réponse HTTP est la capacité du pirate à envoyer une seule demande HTTP qui force le serveur Web à former un flux de sortie qui est ensuite interprété par la cible comme étant deux réponses HTTP au lieu d'une. |
| Droits d'accès inadéquats au système de fichiers | catImproperFilesystemPermissions | Menace pour la confidentialité, l'intégrité et la disponibilité d'une application Web. Le problème survient lorsque des droits d'accès incorrects au système de fichiers sont définis sur des fichiers, dossiers et liens symboliques. |
| Traitement incorrect des entrées | catImproperInputHandling | L'une des failles les plus courantes identifiées à l'heure actuelle parmi les applications. Une entrée mal gérée est la principale cause responsable de vulnérabilités critiques existant dans les systèmes et les applications. |
| Traitement incorrect des sorties | catImproperOutputHandling | Si une application dispose d'un traitement incorrect des sorties, les données sortantes peuvent conduire à des vulnérabilités et des actions que le développeur de l'application n'avait pas prévues. |
| Fuite d'informations | catInformationLeakage | Faille d'une application dans laquelle cette dernière révèle des données sensibles, telles que des détails techniques de l'application Web, des informations sur l'environnement ou des données spécifiques à l'utilisateur. |
| Indexation non sécurisée | catInsecureIndexing | Menace pour la confidentialité des données du site Web. L'indexation de contenus de site Web par un processus ayant accès à des fichiers qui ne sont pas censés être accessibles publiquement constitue une fuite potentielle d'informations concernant l'existence de tels fichiers et leur contenu. Dans le processus d'indexation, ces informations sont recueillies et stockées par le processus d'indexation, et peuvent être récupérées plus tard par un agresseur déterminé, généralement au moyen d'une série de requêtes sur le moteur de recherche. |
| Anti-automatisation insuffisante | catInsufficientAntiAutomation | Lorsqu'un site Web permet à un pirate d'automatiser un processus qui devrait uniquement être exécuté manuellement. |
| Authentification insuffisante | catInsufficientAuthentication | Un site Web autorise un pirate à accéder à un contenu ou à une fonctionnalité sensible sans avoir à s'authentifier correctement. |
| Autorisation insuffisante | catInsufficientAuthorization | Se produit lorsqu'un site Web autorise l'accès à du contenu ou à une fonctionnalité sensible qui nécessite un contrôle d'accès accru. |
| Restauration de mot de passe insuffisante | catWeakPasswordRecoveryValidation | Lorsqu'un site Web permet à un pirate d'obtenir, de modifier ou de récupérer illégalement le mot de passe d'un autre utilisateur. |
| Validation de processus insuffisante | catInsufficientProcessValidation | Se produit lorsqu'un site Web autorise un pirate à contourner ou à faire échouer le contrôle du débit prévu d'une application. |
| Expiration de session insuffisante | catInsufficientSessionExpiration | Se produit lorsqu'un site Web autorise un pirate à réutiliser d'anciens ID session ou données d'identification de session comme autorisation. |
| Protection insuffisante de la couche de transport | catInsufficientTransLayerProtection | Expose la communication à des tiers qui ne sont pas dignes de confiance. |
| Dépassements d'entier | catIntegerOverflow | Condition qui survient lorsque le résultat d'une opération arithmétique, comme une multiplication ou une addition, dépasse la taille maximale du type d'entier utilisé pour le stocker. |
| Injection LDAP | catLDAPInjection | Technique d'attaque utilisée pour exploiter les sites Web qui créent des instructions LDAP à partir des entrées utilisateur. |
| Injection de commande de messagerie | catMailCommandInjection | Technique d'attaque utilisée pour exploiter les serveurs de messagerie et les applications de courrier Web qui construisent des déclarations IMAP/SMTP à partir d'entrées fournies par l'utilisateur qui ne sont pas correctement assainies. |
| N/A | catMaliciousContent | L'application contient du code qui semble malveillant. |
| Injection d'octet null | catNullByteInjection | Technique d'exploitation active utilisée pour contourner les filtres de contrôle d'exactitude dans l'infrastructure Web en ajoutant des caractères de type octet nul codé dans l'URL aux données fournies par l'utilisateur. |
| Commandes du système d'exploitation | catOSCommanding | Technique d'attaque utilisée pour exploiter les sites Web en exécutant les commandes du système d'exploitation via la manipulation des entrées de l'application. |
| Traversée de répertoires | catPathTraversal | Technique d'attaque qui force l'accès aux fichiers, répertoires et commandes résidant potentiellement en dehors du répertoire racine des documents Web. |
| N/A | catPrivacy | Informations sensibles stockées sur le disque en texte en clair. |
| Emplacement de ressource prévisible | catPredictableResourceLocation | Technique d'attaque destinée à découvrir, par suppositions, les fonctionnalités et le contenu masqués d'un site Web. |
| N/A | catQuality | Les erreurs de configuration ou les failles d'un mécanisme de sécurité peuvent provoquer des conséquences désastreuses. |
| Inclusion de fichiers à distance (RFI) | catRemoteFileInclusion | Technique d'attaque utilisée pour exploiter les mécanismes d'inclusion de fichier dynamique (dynamic file include) dans les applications Web pour inciter l'application à inclure des fichiers distants comportant du code malveillant. |
| Détour du routage | catRoutingDetour | Attaque de type "Man in the Middle" dans laquelle des intermédiaires peuvent être injectés ou "détournés" dans le but de router des messages sensibles vers un emplacement extérieur. |
| Mauvaise configuration du serveur | catServerMisconfiguration | Exploite les failles de configuration détectées sur les serveurs Web et les serveurs d'applications. |
| N/A | catServerSideRequestForgery | Traitement, assainissement ou validation incorrect des entrées utilisateur contenant des éléments joints ultérieurement à l'URI. |
| Fixation de session | catSessionFixation | Technique d'attaque qui impose une valeur explicite à un ID session utilisateur. Une fois l'ID session utilisateur fixé, le pirate attend qu'il se connecte. Lorsque l'utilisateur est connecté, le pirate utilise la valeur d'ID session prédéfinie pour découvrir leur identité en ligne. |
| Abus de tableau SOAP | catSOAPArrayAbuse | Un service Web qui attend un tableau peut être la cible d'une attaque par saturation XML en forçant le serveur SOAP à générer un tableau énorme dans la mémoire de la machine, infligeant ainsi une condition DoS sur la machine à cause de la préallocation de mémoire. |
| Injection SQL | catSQLInjection | Technique d'attaque utilisée pour exploiter les sites Web qui créent des instructions SQL à partir des entrées utilisateur. |
| Injection d'inclusion SSI | catSSIInjection | Technique d'exploitation côté serveur qui autorise un pirate à envoyer du code dans une application Web, qui sera exécuté ultérieurement localement par le serveur Web. |
| Abus de redirection d'URL | catURLRedirectoryAbuse | La redirection d'URL représente une fonctionnalité communément employée par les sites internet pour transmettre une requête entrante vers une autre ressource. Elle peut être utilisée pour des attaques par hameçonnage. |
| N/A | catUserDefined | Test créé par l'utilisateur. |
| Agrandissement d'attribut XML | catXMLAttributeBlowup | Attaque par saturation visant les analyseurs XML. |
| Expansion d'entité XML | catXMLEntityExpansion | Elle exploite une capacité des DTD XML qui permet la création de macros personnalisées, appelées entités, qui peuvent être utilisées dans un document. En définissant récursivement un ensemble d'entités personnalisées en tête d'un document, un agresseur peut submerger les analyseurs qui tentent de résoudre complètement les entités en les obligeant à parcourir presque indéfiniment ces définitions récursives. |
| Entités externes XML | catXMLExternalEntities | Cette technique tire parti d'une fonctionnalité du langage XML pour générer dynamiquement des documents au moment du traitement. Un message XML peut fournir des données de manière explicite ou pointer vers un URI où les données sont disponibles. Dans cette technique d'attaque, des entités externes peuvent remplacer la valeur de l'entité par des donnés malveillantes ou des renvois alternatifs, ou peuvent compromettre la sécurité des données auxquelles le serveur ou l'application XML a accès. |
| Injection XML | catXMLInjection | L'injection XML est une technique d'attaque utilisée pour manipuler ou compromettre la logique d'un service ou d'une application XML. L'injection de contenu et/ou de structures XML accidentels dans un message XML peut modifier la logique prévue de l'application. De plus, l'injection XML peut provoquer l'insertion de contenu malveillant dans le message ou document résultant. |
| Injection XPath | catXPathInjection | Technique d'attaque utilisée pour exploiter les sites Web qui construisent des requêtes XPath à partir des entrées utilisateur. |
| Injection XQuery | catXQueryInjection | L'injection XQuery est une variante de l'attaque par injection SQL classique, contre le langage XQuery de XML. Elle utilise des données incorrectement validées, qui sont passées aux commandes XQuery. |