WASC 威胁分类 V2.0 报告

它为什么重要

Web 安全漏洞会持续影响 Web 站点的风险。确定任何 web 安全漏洞时，执行攻击需要使用至少若干种应用程序攻击技术之一。这些方法通常称为攻击类（对安全漏洞加以利用的方式）。

WASC Web 应用程序威胁分类列表

功能滥用：功能滥用是利用 Web 站点自身的特性和功能来使用、欺骗或阻挠访问控制机制的一种攻击方法。

暴力：“暴力”攻击是指猜测个人的用户名、密码、信用卡号或密钥所使用的自动化反复试验过程。

缓冲区溢出：“缓冲区溢出”利用是指通过覆盖部分内存来改变应用程序流的攻击。

内容电子欺骗：内容电子欺骗是用于骗取用户相信 Web 站点上出现的某些内容合法且不是来自外部源的一种攻击方法。

凭证/会话预测：凭证/会话预测是一种操纵或假冒 Web 站点用户的方法。推断或猜测识别特定会话或用户的唯一值，以完成攻击。

跨站点脚本编制：跨站点脚本编制 (XSS) 是一种强制 Web 站点回传攻击者提供的可执行代码（装入在用户浏览器中）的攻击方法。受跨站点脚本影响的用户的帐户可能会受操纵（cookie 盗用），其浏览器可能会重定向到其他位置，或者可能显示用户正在访问的 Web 站点所提供的欺骗性内容。

拒绝服务：“拒绝服务”（DoS）攻击技术目的是阻止 Web 站点为一般用户活动提供服务。

目录索引：“自动目录列表/索引”是 Web 服务器功能，如果未提供常规基础文件（index.html/home.html/default.htm），那么该功能会列出所请求目录中的所有文件。

格式字符串攻击：“格式字符串攻击”通过使用字符串格式化库功能访问其他内存空间来修改应用程序流。

信息泄露：“信息泄露”指 Web 站点显示可能会协助攻击者攻击系统的敏感数据（如开发者注释或错误消息）时出现的漏洞。

不充分反自动化：不充分反自动化是当 Web 站点允许攻击者将应当仅手动执行的过程自动化时产生的结果。

认证不充分：认证不充分是指 Web 站点允许攻击者访问敏感内容或功能，而未对其访问许可权进行适当认证时出现的漏洞。

授权不充分：授权不充分是指 Web 站点允许访问敏感内容或功能，而这些内容或功能需要增加访问控制限制时出现的漏洞。

不充分过程验证：不充分过程验证是当 Web 站点允许攻击者绕过或规避应用程序的预期流控制时出现的漏洞。

会话有效期不足：会话有效期不足是当 Web 站点允许攻击者复用旧会话标识进行授权时出现的漏洞。会话有效期不足将增加 Web 站点受攻击（窃取或假冒其他用户）的可能性。

LDAP 注入：LDAP 注入是一种攻击方法，它通过用户提供的输入来构造轻量级目录访问控制 (LDAP) 语句，从而攻击 Web 站点。

操作系统命令：操作系统命令是用于通过操纵应用程序输入来执行操作系统命令，从而对 Web 站点进行攻击的一种方法。

路径遍历：路径遍历攻击方法会强制访问可能位于文档根目录外的文件、目录和命令。攻击者可能会通过以下方法来操纵 URL：Web 站点将运行或显示 Web 服务器上任何位置任意文件的内容。

可预测资源位置：可预测资源位置是用于显示隐藏 Web 站点内容和功能的一种攻击方法。通过有根据的猜测，就可以知道攻击是强行搜索，以查找不打算供公共查看的内容。临时文件、备份文件、配置文件和样本文件这些示例，都是潜在的剩余文件。

会话固定：“会话固定”攻击技术会强制赋予用户的会话标识一个确值。

SQL 注入：SQL 注入是一种攻击方法，它通过用户提供的输入来构造 SQL 语句，从而攻击 Web 站点。

SSI 注入：SSI 注入（服务器端包含）是一种服务器端攻击方法，该方法允许攻击者将代码发送到随后将由 Web 服务器在本地执行的应用程序。

弱密码恢复验证：弱密码恢复验证是指当 Web 站点允许攻击者非法获取、更改或恢复其他用户的密码时出现的漏洞。

XPath 注入：XPath 注入是一种攻击方法，它从由用户提供的输入构造 XPath 查询，从而攻击 Web 站点。