脅威クラス・リスト
WASC 脅威の分類は、Web サイトや Web サイトのデータ、Web サイト・ユーザーのセキュリティー侵害の要因となり得る弱点および攻撃を分類する協調的な取り組みである。WASC 脅威の分類の詳細については、以下の Web サイトを参照。http://projects.webappsec.org/w/page/13246978/Threat%20Classification
AppScan Standard では、すべての WASC 脅威の分類が使用されるわけではなく、WASC 分類を持たない追加の分類 (例: サーバーサイド・リクエスト・フォージェリ) がある。
脅威クラス | 説明 |
---|---|
catAbuseOfFunctionality | Web サイトそのものの機構や機能を使って、アクセス制御メカニズムを消費、籠絡、または迂回する攻撃手法。 |
catApplicationMisconfiguration | 以下の攻撃は、Web アプリケーションに見つかる構成の弱点を悪用します。 |
catPrivacy | 重要情報がクリア・テキストでディスクに保存されています。 |
catQuality | セキュリティー・メカニズムの構成ミスまたは欠陥は、悲惨な結果をもたらす可能性があります。 |
catBruteForce | 個人のユーザー名、パスワード、クレジット・カード番号、暗号鍵の推測に使用する、トライアル・アンド・エラーの自動プロセス。 |
catBufferOverflow | 割り当てられたバッファー・サイズを超えるデータでメモリーの一部を上書きすることで、アプリケーションの流れを変更する攻撃。 |
catContentSpoofing | Web サイトに表示されているコンテンツが外部ソースに由来するものではない正当なコンテンツであるとユーザーに信じ込ませる攻撃技法。 |
catCredentialSessionPrediction | 特定のセッションまたはユーザーを識別する固有な値を推定または推測することで、Web サイトのユーザーのコントロールを奪う、またはそのユーザーになりすますメソッド。 |
catCrossSiteRequestForgery | 被害者としてアクションを実行するために、被害者に対して、被害者の認識や意図なしに HTTP 要求をターゲット宛先に送信するように強制する攻撃。 |
catCrossSiteScripting | 攻撃者が組み込んだ実行可能コードを Web サイトで強制的にエコー出力させ、ユーザーのブラウザーにロードさせる攻撃手法。 |
catDenialOfService | Web サイトの通常のユーザー処理の実行を妨害することを意図した攻撃手法。 |
catDirectoryIndexing | 自動ディレクトリー・リスト作成/索引作成は Web サーバーの機能で、通常の基本ファイル (index.html/home.html/default.htm) が存在しない場合に、要求したディレクトリー内のすべてのファイルをリストします。ソフトウェアに脆弱性がある状態で特定の Web 要求を実行すると、意図しないディレクトリー・リスト作成が可能になることがあります。 |
catFingerprinting | 攻撃者の最も一般的な方法は、ターゲットの Web プレゼンスにまずフットプリントを付け、できるだけ多くの情報を列挙することです。攻撃者はこの情報を使用して、正確な攻撃シナリオを作成できます。このシナリオでは、ターゲット・ホストによって使用されているソフトウェアのタイプ/バージョンにおける脆弱性を効果的に悪用します。 |
catFormatStringAttack | ストリング書式制御ライブラリー機能を使って他のメモリー・スペースにアクセスすることで、アプリケーションの流れを変更する攻撃。 |
catHTTPRequestSmuggling | 2 つの HTTP デバイス間の RFC に準拠していない HTTP 要求の構文解析における矛盾を悪用する攻撃手法で、最初のデバイスを通じて 2 番目のデバイスに要求をスマグリングします。 |
catHTTPRequestSplitting | HTTP リクエスト分割は、ブラウザーに任意の HTTP 要求を送信するよう強制することができる攻撃で、XSS に負担をかけ、ブラウザーのキャッシュを汚染します。 |
catHTTPResponseSmuggling | サーバーから単一の応答を予期 (または許可) している中間 HTTP デバイスを通じて、サーバーからクライアントに 2 つの HTTP 応答を「スマグリング」(密輸) する手法です。 |
catHTTPResponseSplitting | HTTP レスポンス分割の基本は、攻撃者が Web サーバーに出力ストリームを形成させる単一の HTTP 要求を送信し、ターゲットにその出力を 1 つの HTTP 応答ではなく、2 つの HTTP 応答として解釈させることができるということです。 |
catImproperFilesystemPermissions | Web アプリケーションの機密性、保全性、および可用性への脅威。この問題は、誤ったファイル・システム許可がファイル、フォルダー、およびシンボリック・リンクに対して設定されている場合に生じます。 |
catImproperInputHandling | 今日、アプリケーション全般で特定される最も一般的な弱点の 1 つです。不適切に処理された入力は、システムおよびアプリケーションに存在する重大な脆弱性の背後にある主な原因です。 |
catImproperOutputHandling | アプリケーションに不適切な出力処理があると、出力データが取り込まれて、脆弱性やアプリケーション開発者が意図しないアクションを引き起す原因となる場合があります。 |
catInformationLeakage | アプリケーションが機密データ (Web アプリケーション、環境、およびユーザー固有のデータの技術的詳細など) を漏えいするアプリケーションの弱点。 |
catInsecureIndexing | Web サイトのデータ機密性に対する脅威。本来は公的にアクセスできないファイルにアクセスできるプロセスを介して Web サイトのコンテンツを索引付けすると、そのようなファイルの存在およびそれらの内容について情報が漏えいする恐れがあります。索引付けのプロセスでは、そのような情報が索引付けのプロセスにより収集されて保管されます。この情報は後から、通常は検索エンジンへの一連の照会により、強い意志を持った攻撃者が取得する可能性があります。 |
catInsufficientAntiAutomation | 手動でのみ実行すべきプロセスを、攻撃者が自動化できるような状態になっている Web サイト。 |
catInsufficientAuthentication | 適切な認証なしに重要なコンテンツまたは機能に攻撃者がアクセスすることを Web サイトが許可している場合。 |
catInsufficientAuthorization | 追加のアクセス制御による制限を必要とすべき、重要なコンテンツまたは機能へのアクセスを Web サイトが許可している状態。 |
catWeakPasswordRecoveryValidation | Web サイトで別のユーザーのパスワードを攻撃者が不正に取得、変更、またはリカバリーできる場合。 |
catInsufficientProcessValidation | アプリケーションの本来のフロー制御を攻撃者が迂回または回避できる状態になっている Web サイト。 |
catInsufficientSessionExpiration | 許可用の古いセッション証明書またはセッション ID を攻撃者が再使用できる状態になっている Web サイト。 |
catInsufficientTransLayerProtection | 信頼できないサード・パーティーに通信がさらされるのを許します。 |
catIntegerOverflow | 乗算や加算などの算術演算の結果が、保管に使用される整数型の最大サイズを超えている場合に生じる状態。 |
catLDAPInjection | ユーザー入力から LDAP ステートメントを構成する Web サイトを不正に利用するための攻撃技法。 |
catMailCommandInjection | 適切にサニタイズされていないユーザーの入力から IMAP/SMTP ステートメントを組み立てる、メール・サーバーおよび Web メール・アプリケーションを悪用するために使用される攻撃手法。 |
catMaliciousContent | アプリケーションには、悪意があると思われるコードが含まれます。 |
catNullByteInjection | URL エンコードされたヌル・バイト文字をユーザー・データに追加することで、Web インフラストラクチャー内の正常性チェック・フィルターを迂回するために使用されるアクティブな悪用技法。 |
catOSCommanding | アプリケーションの入力を操作することでオペレーティング・システムのコマンドを実行する攻撃手法で、Web サイトを悪用するために使用。 |
catPathTraversal | Web ドキュメントのルート・ディレクトリー以外に存在する可能性のあるファイル、ディレクトリー、コマンドに強制的にアクセスする手法です。 |
catPredictableResourceLocation | 高度な推測によって、Web サイトの隠されたコンテンツや機能を明らかにするために使用される攻撃手法。 |
catRemoteFileInclusion | Web アプリケーションの「動的ファイルのインクルード」メカニズムを悪用するために使用される攻撃手法で、アプリケーションをだまして悪質なコードを含むリモート・ファイルを組み込ませます。 |
catRoutingDetour | 「中間者」攻撃の 1 タイプで、中間者を注入または「ハイジャック」して、機密メッセージを外部ロケーションにルーティングすることを可能にします。 |
catServerMisconfiguration | Web サーバーおよびアプリケーション・サーバーで見つかる構成の弱点を悪用します。 |
catServerSideRequestForgery | 後で URI と結合された要素を含むユーザー入力の処理、サニタイズ、または検証が正しくありません。 |
catSessionFixation | ユーザーのセッション ID を強制的に明示的な値にする攻撃手法。ユーザーのセッション ID が固定された後、攻撃者はユーザーのログインを待ちます。ユーザーがログインすると、攻撃者は事前定義されたセッション ID の値を使ってユーザーのオンライン・アイデンティティーを装います。 |
catSOAPArrayAbuse | 配列を予期している Web サービスは、XML DoS 攻撃のターゲットとなる可能性があります。これは、SOAP サーバーにマシンのメモリー内に大量の配列を作成するよう強制し、メモリーの事前割り振りのためにマシン上の DoS 状態に負担をかけることによって実行されます。 |
catSQLInjection | ユーザー入力から SQL ステートメントを組み立てる、Web サイトを不正に利用するための攻撃手法。 |
catSSIInjection | 攻撃者が Web アプリケーションにコードを送信できるようにするサーバー・サイドの攻撃手法。その後、Web サーバーがそのコードをローカルで実行。 |
catURLRedirectoryAbuse | URL リダイレクターは、着信要求を代替リソースに転送するために Web サイトによって使用される一般的な機能であり、フィッシング攻撃で使用される場合があります。 |
catUserDefined | ユーザーによって作成されたテスト。 |
catXMLAttributeBlowup | XML パーサーに対するサービス妨害攻撃。 |
catXMLEntityExpansion | これは、文書の至るところで使用できる、エンティティーと呼ばれるカスタム・マクロを作成できるようにする XML DTD での機能を悪用します。攻撃者は、文書の上部にある一連のカスタム・エンティティーを再帰的に定義することにより、エンティティーの完全な解決を試行するパーサーに対し、再帰的な定義でほぼ無限に試行を繰り返すように強制して負担をかけます。 |
catXMLExternalEntities | この手法は、処理時に文書を動的にビルドする XML の機能を悪用します。XML メッセージは、データを明示的に提供するか、データが存在する URI を指すことでデータを提供することができます。この攻撃手法では、外部エンティティーがエンティティー値を悪質なデータや代替参照で置換したり、サーバーや XML アプリケーションがアクセス権を持つデータのセキュリティーを危険にさらしたりします。 |
catXMLInjection | XML アプリケーションまたは XML サービスのロジックを操作または危険にさらすために使用される攻撃手法。意図していない XML コンテンツ、XML 構造、またはその両方を XML メッセージに注入することで、アプリケーションの意図されたロジックを変更できます。さらに、XML インジェクションにより、悪質なコンテンツを結果のメッセージや文書に挿入することができます。 |
catXPathInjection | ユーザー入力から XPath 照会を構成する Web サイトを不正に利用するための攻撃技法。 |
catXQueryInjection | XQuery インジェクションは、XML XQuery 言語に対する従来の SQL インジェクション攻撃のバリアントです。XQuery インジェクションは、不適切に検証されたデータを使用し、それが XQuery コマンドに渡されるようにします。 |