Rapport WASC v 2.0 - Classification des menaces

Pourquoi est-ce important

Les vulnérabilités de sécurité Web ont une incidence continuelle sur un site Web. Lorsqu'une vulnérabilité de sécurité Web est identifiée, la réalisation d'une attaque nécessite l'utilisation d'au moins une technique parmi plusieurs techniques d'attaque d'applications. Ces techniques sont couramment appelées classe de l'attaque (méthode d'exploitation d'une vulnérabilité).

Liste de classification des menaces d'application Web par le consortium WASC

Abus de fonctionnalité : l'abus de fonctionnalité est une technique d'attaque qui a recours aux fonctions et fonctionnalités mêmes du site Web pour exploiter les mécanismes de contrôle d'accès, les utiliser de façon frauduleuse ou les faire échouer.

Force brute : une attaque de force brute est un processus automatique par tâtonnement pour deviner le nom d'utilisateur, le mot de passe, le numéro de carte de crédit ou une clé cryptographique.

Dépassement de la mémoire tampon : les dépassements de la mémoire tampon sont des attaques qui modifient le flux d'une application en écrasant partiellement la mémoire.

Usurpation de contenu : l'usurpation de contenu est une technique d'attaque utilisée pour faire croire à l'utilisateur que certains contenus du site Web sont légitimes et ne proviennent pas d'une source externe.

Prédiction des données d'identification/session : il s'agit là d'une méthode pour pirater l'identité d'un utilisateur de site Web ou se faire passer pour lui. L'attaque est accomplie par déduction de la valeur unique qui identifie une session ou un utilisateur donné.

Script intersite : l'attaque par script intersite (XSS) est une technique qui force un site Web à relayer le code exécutable fourni par le cyber-attaquant, qui se charge dans le navigateur de l'utilisateur. Un utilisateur victime de ce type d'attaque peut se faire pirater son compte (vol de cookie), son navigateur peut être redirigé vers un autre site, ou afficher du contenu frauduleux délivré par le site qu'il visite.

Déni de service : le déni de service (DoD) est une technique d'attaque destinée à empêcher un site Web de fournir le service normal aux utilisateurs.

Indexation de répertoire : l'indexation automatique de répertoire est une fonction de serveur Web qui liste tous les fichiers du répertoire concerné en l'absence du fichier de base normal (index.html/home.html/default.htm).

Attaque de type chaîne de format : attaques qui altèrent le flux d'une application en utilisant des fonctions de bibliothèque de formatage de chaîne pour accéder à davantage d'espace mémoire.

Fuite d'informations : la fuite d'informations se produit lorsqu'un site Web divulgue des données confidentielles, telles que des commentaires de développeurs ou des messages d'erreur, qui peuvent aider un cyber-attaquant à exploiter le système.

Anti-automatisation insuffisante : l'anti-automatisation insuffisante se produit lorsqu'un site Web permet à un cyber-attaquant d'automatiser un processus qui ne peut être exécuté que manuellement.

Authentification insuffisante : l'authentification insuffisante se produit lorsqu'un site Web autorise un cyber-attaquant à accéder à du contenu ou à une fonctionnalité sensible sans authentification correcte de ses droits d'accès.

Autorisation insuffisante : l'autorisation insuffisante se produit lorsqu'un site Web autorise l'accès à du contenu ou à une fonctionnalité sensible qui nécessite un contrôle d'accès accru.

Validation de processus insuffisante : la validation de processus insuffisante se produit lorsqu'un site Web autorise un cyber-attaquent à contourner ou à faire échouer le contrôle du débit prévu d'une application.

Expiration de session insuffisante : l'expiration de session insuffisante se produit lorsqu'un site Web autorise un cyber-attaquant à réutiliser d'anciens ID session ou données d'identification de session comme autorisation. L'expiration de session insuffisante expose davantage le site Web aux attaques qui volent ou usurpent l'identité des utilisateurs.

Injection LDAP : l'injection LDAP est une attaque qui exploite les sites Web en construisant des instructions Lightweight Directory Access Protocol (LDAP) à partir des entrées utilisateur.

Injection de commandes OS : l'injection de commandes du système d'exploitation est une technique d'attaque qui permet d'exploiter les sites Web en exécutant des commandes du système d'exploitation par la manipulation des entrées de l'application.

Traversée de répertoires : la traversée de répertoires est une technique d'attaque qui force l'accès aux fichiers, répertoires et commandes pouvant se trouver à l'extérieur du répertoire racine des documents. Un cyber-attaquant peut manipuler une adresse URL de sorte que le site Web exécute ou révèle le contenu de fichiers arbitraires n'importe où sur le serveur Web.

Emplacement de ressource prévisible : l'emplacement de ressource prévisible est une technique d'attaque destinée à révéler le contenu et les fonctionnalités cachés du site Web. Grâce à des déductions sensées, cette attaque de type force brute recherche du contenu non destiné à la consultation publique, notamment les fichiers temporaires, fichiers de sauvegarde, fichiers de configuration et fichiers échantillon.

Fixation de session : la fixation de session est une technique d'attaque qui impose une valeur explicite à un ID session utilisateur.

Injection SQL : l'injection SQL est une attaque qui exploite les sites Web en construisant des instructions SQL à partir des entrées utilisateur.

Injection SSI : l'injection SSI (inclusion côté serveur) est une technique d'exploitation côté serveur qui autorise un cyber-attaquant à envoyer du code dans une application Web, qui sera exécuté ultérieurement localement par le serveur Web.

Validation de récupération de mot de passe faible : la validation de récupération de mot de passe faible se produit lorsqu'un site Web autorise un cyber-attaquant à obtenir, récupérer ou modifier illégalement le mot de passe d'un utilisateur.

Injection XPath : l'injection XPath est une attaque qui exploite les sites Web en construisant des requêtes XPath à partir des entrées utilisateur.