Liste des risques

Nom du risque

Description

tempScriptDownload Il est possible de télécharger des fichiers script temporaires pouvant exposer la logique de l'application et d'autres informations sensibles, telles que les noms d'utilisateur et les mots de passe.
sourceCodeDisclosure Il est possible d'extraire le code source des scripts côté serveur, ce qui peut exposer la logique de l'application et d'autres informations sensibles, telles que les noms d'utilisateur et les mots de passe.
pathDisclosure Il est possible d'extraire le chemin d'accès absolu de l'installation du serveur Web, ce qui peut aider un pirate à développer d'autres attaques et à obtenir des informations sur la structure du système de fichiers de l'application Web.
directoryListing Il est possible de visualiser et de télécharger le contenu de certains répertoires virtuels de l'application Web pouvant contenir des fichiers restreints.
envVariablesExposure Il est possible d'exposer des variables d'environnement du serveur pouvant aider un pirate à développer d'autres attaques contre l'application Web.
anyFileDownload Il est possible de visualiser le contenu de n'importe quel fichier (par exemple, des fichiers de bases de données, d'informations utilisateur ou de configuration) sur le serveur Web (en fonction de la restriction des droits de l'utilisateur du serveur Web).
userImpersonation Il est possible de voler la session et les cookies d'un client et de les utiliser pour emprunter l'identité d'un utilisateur légitime, ce qui peut permettre à un pirate de visualiser ou de modifier des enregistrements utilisateur et de réaliser des transactions en tant qu'utilisateur.
remoteCommandExecution Il est possible d'exécuter des commandes à distance sur le serveur Web. Cela signifie généralement la compromission totale du serveur et de son contenu.
cacheFilesDownload Il est possible de visualiser le contenu des fichiers cache pouvant contenir des informations sensibles concernant l'application Web.
debugErrorInformation Il est possible de rassembler des informations de débogage sensibles.
eShoplifting Il est possible de voler des biens et des services (eShoplifting - vol à l'étalage sur le Web).
denialOfService Il est possible d'empêcher l'application Web de servir d'autres utilisateurs (refus de service).
privilegeEscalation Il est possible de transférer des droits utilisateur et d'obtenir des droits administrateur sur l'application Web.
genericWorstCase Il est possible de nuire à la logique de l'application.
configurationFile

Téléchargeable

Il est possible de télécharger ou de visualiser le contenu d'un fichier de configuration pouvant contenir des informations vitales, telles que les noms d'utilisateur et les mots de passe.
sensitiveInformation Il est possible de rassembler des informations sensibles relatives à l'application Web, telles que les noms utilisateur, les mots de passe, le nom de la machine et/ou les emplacements des fichiers sensibles.
genericWorstCaseJavaScript™ Il est possible d'exploiter JavaScript. L'étendue du risque dépend du contexte de la page modifiée côté client.
genericWorstCaseJSCookie Il est possible d'exploiter le code JSCookie. L'étendue du risque dépend du contexte et du rôle des cookies créés côté client.
emailSpoofing Il est possible d'envoyer des messages électroniques via votre application Web à l'aide des adresses électroniques usurpées.
siteDefacement Il est possible de télécharger, modifier ou supprimer des pages Web, des scripts et des fichiers sur le serveur Web.
databaseManipulations Il est possible de visualiser, modifier ou supprimer des entrées de base de données et des tables (Injection SQL).
authBypass Il est possible de contourner le mécanisme d'authentification de l'application Web.
siteStructureRevealed Il est possible d'extraire des informations relatives à la structure du système de fichiers du site, ce qui facilite le mappage du site par le pirate.
publisherInformation

Révélé

Il est possible d'extraire des informations de publication FrontPage sensibles.
dataResourceDownload Il est possible d'accéder aux informations stockées dans une ressource de données sensibles.
sensitiveNotOverSSL Il est possible de voler des données sensibles envoyées non chiffrées, telles que des numéros de carte de crédit, des numéros de sécurité sociale, etc.
loginNotOverSSL Il est possible de voler des informations de connexion envoyées non chiffrées, telles que des noms utilisateur et des mots de passe.
unsecureCookieInSSL Il est possible de voler des informations relatives à l'utilisateur ou à la session (cookies) qui ont été envoyées lors d'une session codée.
sessionCookieNotRAM Il est possible de voler des informations de session (cookies) conservées sur le disque en tant que cookies permanents.
phishing Il est possible de persuader un utilisateur naïf de fournir des informations sensibles telles qu'un nom utilisateur, un mot de passe, un numéro de carte de crédit, un numéro de sécurité sociale, etc.
cachePoisoning Il est possible d'altérer le contenu du site par l'empoisonnement du cache Web.
attackFacilitation Il est possible qu'un pirate utilise le serveur Web pour attaquer d'autres sites et augmente ainsi son autonomie.
maliciousContent n/a
clientCodeExecution Il est possible d'exécuter du code arbitraire des clients de l'application Web.
siteImpersonation En utilisant des vecteurs d'attaque supplémentaires, un agresseur informatique malveillant a la possibilité de simuler ce site.