脅威クラス・リスト

WASC 脅威の分類は、Web サイトや Web サイトのデータ、Web サイト・ユーザーのセキュリティー侵害の要因となり得る弱点および攻撃を分類する協調的な取り組みである。WASC 脅威の分類の詳細については、以下の Web サイトを参照。http://projects.webappsec.org/w/page/13246978/Threat%20Classification

AppScan Standard では、すべての WASC 脅威の分類が使用されるわけではなく、WASC 分類を持たない追加の分類 (例: サーバーサイド・リクエスト・フォージェリ) がある。
脅威クラス 説明
catAbuseOfFunctionality Web サイトそのものの機構や機能を使って、アクセス制御メカニズムを消費、籠絡、または迂回する攻撃手法。
catApplicationMisconfiguration 以下の攻撃は、Web アプリケーションに見つかる構成の弱点を悪用します。
catPrivacy 重要情報がクリア・テキストでディスクに保存されています。
catQuality セキュリティー・メカニズムの構成ミスまたは欠陥は、悲惨な結果をもたらす可能性があります。
catBruteForce 個人のユーザー名、パスワード、クレジット・カード番号、暗号鍵の推測に使用する、トライアル・アンド・エラーの自動プロセス。
catBufferOverflow 割り当てられたバッファー・サイズを超えるデータでメモリーの一部を上書きすることで、アプリケーションの流れを変更する攻撃。
catContentSpoofing Web サイトに表示されているコンテンツが外部ソースに由来するものではない正当なコンテンツであるとユーザーに信じ込ませる攻撃技法。
catCredentialSessionPrediction 特定のセッションまたはユーザーを識別する固有な値を推定または推測することで、Web サイトのユーザーのコントロールを奪う、またはそのユーザーになりすますメソッド。
catCrossSiteRequestForgery 被害者としてアクションを実行するために、被害者に対して、被害者の認識や意図なしに HTTP 要求をターゲット宛先に送信するように強制する攻撃。
catCrossSiteScripting 攻撃者が組み込んだ実行可能コードを Web サイトで強制的にエコー出力させ、ユーザーのブラウザーにロードさせる攻撃手法。
catDenialOfService Web サイトの通常のユーザー処理の実行を妨害することを意図した攻撃手法。
catDirectoryIndexing 自動ディレクトリー・リスト作成/索引作成は Web サーバーの機能で、通常の基本ファイル (index.html/home.html/default.htm) が存在しない場合に、要求したディレクトリー内のすべてのファイルをリストします。ソフトウェアに脆弱性がある状態で特定の Web 要求を実行すると、意図しないディレクトリー・リスト作成が可能になることがあります。
catFingerprinting 攻撃者の最も一般的な方法は、ターゲットの Web プレゼンスにまずフットプリントを付け、できるだけ多くの情報を列挙することです。攻撃者はこの情報を使用して、正確な攻撃シナリオを作成できます。このシナリオでは、ターゲット・ホストによって使用されているソフトウェアのタイプ/バージョンにおける脆弱性を効果的に悪用します。
catFormatStringAttack ストリング書式制御ライブラリー機能を使って他のメモリー・スペースにアクセスすることで、アプリケーションの流れを変更する攻撃。
catHTTPRequestSmuggling 2 つの HTTP デバイス間の RFC に準拠していない HTTP 要求の構文解析における矛盾を悪用する攻撃手法で、最初のデバイスを通じて 2 番目のデバイスに要求をスマグリングします。
catHTTPRequestSplitting HTTP リクエスト分割は、ブラウザーに任意の HTTP 要求を送信するよう強制することができる攻撃で、XSS に負担をかけ、ブラウザーのキャッシュを汚染します。
catHTTPResponseSmuggling サーバーから単一の応答を予期 (または許可) している中間 HTTP デバイスを通じて、サーバーからクライアントに 2 つの HTTP 応答を「スマグリング」(密輸) する手法です。
catHTTPResponseSplitting HTTP レスポンス分割の基本は、攻撃者が Web サーバーに出力ストリームを形成させる単一の HTTP 要求を送信し、ターゲットにその出力を 1 つの HTTP 応答ではなく、2 つの HTTP 応答として解釈させることができるということです。
catImproperFilesystemPermissions Web アプリケーションの機密性、保全性、および可用性への脅威。この問題は、誤ったファイル・システム許可がファイル、フォルダー、およびシンボリック・リンクに対して設定されている場合に生じます。
catImproperInputHandling 今日、アプリケーション全般で特定される最も一般的な弱点の 1 つです。不適切に処理された入力は、システムおよびアプリケーションに存在する重大な脆弱性の背後にある主な原因です。
catImproperOutputHandling アプリケーションに不適切な出力処理があると、出力データが取り込まれて、脆弱性やアプリケーション開発者が意図しないアクションを引き起す原因となる場合があります。
catInformationLeakage アプリケーションが機密データ (Web アプリケーション、環境、およびユーザー固有のデータの技術的詳細など) を漏えいするアプリケーションの弱点。
catInsecureIndexing Web サイトのデータ機密性に対する脅威。本来は公的にアクセスできないファイルにアクセスできるプロセスを介して Web サイトのコンテンツを索引付けすると、そのようなファイルの存在およびそれらの内容について情報が漏えいする恐れがあります。索引付けのプロセスでは、そのような情報が索引付けのプロセスにより収集されて保管されます。この情報は後から、通常は検索エンジンへの一連の照会により、強い意志を持った攻撃者が取得する可能性があります。
catInsufficientAntiAutomation 手動でのみ実行すべきプロセスを、攻撃者が自動化できるような状態になっている Web サイト。
catInsufficientAuthentication 適切な認証なしに重要なコンテンツまたは機能に攻撃者がアクセスすることを Web サイトが許可している場合。
catInsufficientAuthorization 追加のアクセス制御による制限を必要とすべき、重要なコンテンツまたは機能へのアクセスを Web サイトが許可している状態。
catWeakPasswordRecoveryValidation Web サイトで別のユーザーのパスワードを攻撃者が不正に取得、変更、またはリカバリーできる場合。
catInsufficientProcessValidation アプリケーションの本来のフロー制御を攻撃者が迂回または回避できる状態になっている Web サイト。
catInsufficientSessionExpiration 許可用の古いセッション証明書またはセッション ID を攻撃者が再使用できる状態になっている Web サイト。
catInsufficientTransLayerProtection 信頼できないサード・パーティーに通信がさらされるのを許します。
catIntegerOverflow 乗算や加算などの算術演算の結果が、保管に使用される整数型の最大サイズを超えている場合に生じる状態。
catLDAPInjection ユーザー入力から LDAP ステートメントを構成する Web サイトを不正に利用するための攻撃技法。
catMailCommandInjection 適切にサニタイズされていないユーザーの入力から IMAP/SMTP ステートメントを組み立てる、メール・サーバーおよび Web メール・アプリケーションを悪用するために使用される攻撃手法。
catMaliciousContent アプリケーションには、悪意があると思われるコードが含まれます。
catNullByteInjection URL エンコードされたヌル・バイト文字をユーザー・データに追加することで、Web インフラストラクチャー内の正常性チェック・フィルターを迂回するために使用されるアクティブな悪用技法。
catOSCommanding アプリケーションの入力を操作することでオペレーティング・システムのコマンドを実行する攻撃手法で、Web サイトを悪用するために使用。
catPathTraversal Web ドキュメントのルート・ディレクトリー以外に存在する可能性のあるファイル、ディレクトリー、コマンドに強制的にアクセスする手法です。
catPredictableResourceLocation 高度な推測によって、Web サイトの隠されたコンテンツや機能を明らかにするために使用される攻撃手法。
catRemoteFileInclusion Web アプリケーションの「動的ファイルのインクルード」メカニズムを悪用するために使用される攻撃手法で、アプリケーションをだまして悪質なコードを含むリモート・ファイルを組み込ませます。
catRoutingDetour 「中間者」攻撃の 1 タイプで、中間者を注入または「ハイジャック」して、機密メッセージを外部ロケーションにルーティングすることを可能にします。
catServerMisconfiguration Web サーバーおよびアプリケーション・サーバーで見つかる構成の弱点を悪用します。
catServerSideRequestForgery 後で URI と結合された要素を含むユーザー入力の処理、サニタイズ、または検証が正しくありません。
catSessionFixation ユーザーのセッション ID を強制的に明示的な値にする攻撃手法。ユーザーのセッション ID が固定された後、攻撃者はユーザーのログインを待ちます。ユーザーがログインすると、攻撃者は事前定義されたセッション ID の値を使ってユーザーのオンライン・アイデンティティーを装います。
catSOAPArrayAbuse 配列を予期している Web サービスは、XML DoS 攻撃のターゲットとなる可能性があります。これは、SOAP サーバーにマシンのメモリー内に大量の配列を作成するよう強制し、メモリーの事前割り振りのためにマシン上の DoS 状態に負担をかけることによって実行されます。
catSQLInjection ユーザー入力から SQL ステートメントを組み立てる、Web サイトを不正に利用するための攻撃手法。
catSSIInjection 攻撃者が Web アプリケーションにコードを送信できるようにするサーバー・サイドの攻撃手法。その後、Web サーバーがそのコードをローカルで実行。
catURLRedirectoryAbuse URL リダイレクターは、着信要求を代替リソースに転送するために Web サイトによって使用される一般的な機能であり、フィッシング攻撃で使用される場合があります。
catUserDefined ユーザーによって作成されたテスト。
catXMLAttributeBlowup XML パーサーに対するサービス妨害攻撃。
catXMLEntityExpansion これは、文書の至るところで使用できる、エンティティーと呼ばれるカスタム・マクロを作成できるようにする XML DTD での機能を悪用します。攻撃者は、文書の上部にある一連のカスタム・エンティティーを再帰的に定義することにより、エンティティーの完全な解決を試行するパーサーに対し、再帰的な定義でほぼ無限に試行を繰り返すように強制して負担をかけます。
catXMLExternalEntities この手法は、処理時に文書を動的にビルドする XML の機能を悪用します。XML メッセージは、データを明示的に提供するか、データが存在する URI を指すことでデータを提供することができます。この攻撃手法では、外部エンティティーがエンティティー値を悪質なデータや代替参照で置換したり、サーバーや XML アプリケーションがアクセス権を持つデータのセキュリティーを危険にさらしたりします。
catXMLInjection XML アプリケーションまたは XML サービスのロジックを操作または危険にさらすために使用される攻撃手法。意図していない XML コンテンツ、XML 構造、またはその両方を XML メッセージに注入することで、アプリケーションの意図されたロジックを変更できます。さらに、XML インジェクションにより、悪質なコンテンツを結果のメッセージや文書に挿入することができます。
catXPathInjection ユーザー入力から XPath 照会を構成する Web サイトを不正に利用するための攻撃技法。
catXQueryInjection XQuery インジェクションは、XML XQuery 言語に対する従来の SQL インジェクション攻撃のバリアントです。XQuery インジェクションは、不適切に検証されたデータを使用し、それが XQuery コマンドに渡されるようにします。