「WASC 威脅分類 2.0 版」報告

重要性

Web 安全漏洞會持續影響網站的風險。識別任何 Web 安全漏洞之後，執行攻擊至少必須使用若干應用程式攻擊技術之一。這些技術通稱為攻擊類別（不當運用安全漏洞的方式）。

WASC Web 應用程式威脅分類清單

功能濫用：「功能濫用」是一種攻擊技術，會利用網站本身的特性和功能，來耗用、詐騙或規避存取控制機制。

強制入侵：「強制入侵」攻擊是一個自動化程序，利用錯誤嘗試法來猜測使用者的使用者名稱、密碼、信用卡號碼或加密金鑰。

緩衝區溢位：「緩衝區溢位」漏洞攻擊藉由改寫記憶體的若干部分來變更應用程式的流程。

內容盜用：「內容盜用」是一種攻擊技術，可用來欺騙使用者，讓他們相信網站上所顯示的特定內容是合法的，而非來自外部來源。

認證/階段作業預測：「認證/階段作業預測」是一種強制存取或假冒網站使用者的方法。藉由演繹或猜測用來識別特定階段作業或使用者的唯一值而達成攻擊。

跨網站 Scripting：「跨網站 Scripting (XSS)」是一種攻擊技術，會強迫網站回應攻擊者提供的執行碼，使其載入使用者的瀏覽器中。遭受「跨網站 Scripting」的使用者，帳號可能會遭到劫持（Cookie 盜用）、瀏覽器被重新導向到另一個位置，或是可能會顯示他們到訪的網站所遞送的欺騙性內容。

阻斷服務：「阻斷服務 (DoS)」是一種攻擊技術，會意圖阻止網站處理一般的使用者活動。

目錄檢索：自動化目錄清單/檢索是一種伺服器功能，會在一般基本檔案 (index.html/home.html/default.htm) 不存在時，列出所要求目錄中的所有檔案。

格式字串攻擊：「格式化字串攻擊」利用字串格式化類別庫特性來變更應用程式的流程，以存取其他記憶體空間。

資訊洩漏：當網站顯示有可能協助攻擊者不當運用系統的機密資料（例如：開發人員註解或錯誤訊息）時，即為「資訊洩漏」。

反自動化不足：當網站允許攻擊者以自動化方式執行只應手動執行的程序時，即為「反自動化不足」。

鑑別不足：當網站未適當鑑別存取權，便允許攻擊者存取機密內容或功能時，即為「鑑別不足」。

授權不足：當網站允許存取應要求進一步存取控制限制的機密內容或功能時，即為「授權不足」。

程序驗證不足：當網站允許攻擊者略過或規避預期的應用程式流程控制時，即為「程序驗證不足」。

階段作業期限不足：當網站允許攻擊者重複使用舊的階段作業認證，或階段作業 ID 來進行授權時，即為「階段作業期限不足」。「階段作業期限不足」讓網站更容易遭受竊取或是假冒其他使用者的攻擊。

LDAP 注入：「LDAP 注入」是一種攻擊技術，可用來不當運用從使用者提供的輸入，以建構「輕量型目錄存取通訊協定 (LDAP)」陳述式的網站。

OS 接管：「OS 接管」是一種攻擊技術，這是可供透過操作應用程式輸入來執行作業系統指令，從而不當運用網站的技術。

路徑遍訪：「路徑遍訪」攻擊技術會強制存取可能潛藏在 Web 文件根目錄之外的檔案、目錄和指令。攻擊者可能操作 URL，讓網站因而執行或顯示 Web 伺服器上任何位置的任意檔案內容。

可預測的資源位置：「可預測的資源位置」是一種攻擊技術，可用來揭露隱藏的網站內容和功能。這個攻擊是一種依據經驗猜測的強制入侵搜尋方式，用來尋找不想被公開檢視的內容。暫存檔、備份檔、配置檔及範例檔，上述所有例子皆可能是遭受攻擊後所遺留下來的檔案。

階段作業固定：「階段作業固定」攻擊技術會將使用者的階段作業 ID 強制為某個明確的值。

SQL 注入：「SQL 注入」攻擊技術是不當地運用從使用者提供的輸入，來建構 SQL 陳述式的網站。

SSI 注入：「SSI 注入」（伺服器端併入）是一種伺服器端的不當利用技術，可讓攻擊者將程式碼送入應用程式中，以便稍後由 Web 伺服器在本端執行這個程式碼。

低保護性密碼回復驗證：當網站允許攻擊者非法取得、變更或回復另一位使用者的密碼時，即為「低保護性密碼回復驗證」。

XPath 注入：「XPath 注入」是一種攻擊技術，可用來不當運用從使用者提供的輸入，建構 XPath 查詢的網站。