Liste des classes de menaces
Récapitulatif de classification des menaces par le consortium WASC, travail coopératif visant à classifier les failles et les attaques pouvant rendre vulnérable un site Web, ses données ou ses utilisateurs.
http://projects.webappsec.org/w/page/13246978/Threat%20Classification
Attaques
Nom |
Description abrégée |
|---|---|
| Abus de fonctionnalité | Technique d'attaque qui utilise les caractéristiques et fonctionnalités d'un site Web pour se servir des mécanismes de contrôle d'accès, les utiliser de façon frauduleuse ou les contourner. |
| Force brute | Processus automatique par tâtonnement pour deviner le nom d'un utilisateur, un mot de passe, un numéro de carte de crédit ou une clé cryptographique. |
| Dépassement de mémoire tampon | Attaques qui altèrent le flux d'une application en écrasant des parties de la mémoire avec des données dépassant la taille allouée à la mémoire tampon. |
| Usurpation de contenu | Technique d'attaque utilisée pour tromper un utilisateur et lui faire croire que le contenu qui apparaît sur un site Web est légitime et ne provient pas d'une source externe. |
| Prédiction des droits d'accès/session | Méthode de détournement ou d'usurpation d'identité pratiquée à l'encontre d'un utilisateur de site Web en déduisant ou devinant la valeur unique qui identifie une session ou un utilisateur spécifique. |
| Attaque par script intersite | Technique d'attaque qui force un site Web à relayer le code exécutable fourni par le pirate, qui se charge dans le navigateur de l'utilisateur. |
| Falsification de requêtes intersite | Attaque consistant à forcer une victime à envoyer une requête HTTP vers une destination cible, sans qu'elle n'en ait ni connaissance ni intention, afin d'effectuer une action en se faisant passer pour la victime. |
| Refus de service | Technique d'attaque destinée à empêcher un site Web de fournir le service normal aux utilisateurs. |
| Recherche d'empreintes | La méthodologie la plus couramment utilisée par les pirates consiste d'abord à observer la présence internet de la cible et de rassembler le plus d'informations possible. Avec ces informations, le pirate peut développer un scénario d'attaque précis, qui exploitera efficacement une vulnérabilité du type ou de la version du logiciel utilisé par l'hôte cible. |
| Chaîne de format | Attaques qui altèrent le flux d'une application en utilisant des fonctions de bibliothèque de formatage de chaîne pour accéder à davantage d'espace mémoire. |
| Dissimulation de réponses HTTP | La dissimulation de réponses HTTP est une technique permettant de "faire passer" 2 réponses HTTP d'un serveur à un client, via un périphérique HTTP intermédiaire qui attend (ou permet) une réponse unique du serveur. |
| Fractionnement de réponse HTTP | Le fractionnement de réponse HTTP est la capacité du pirate à envoyer une seule demande HTTP qui force le serveur Web à former un flux de sortie qui est ensuite interprété par la cible comme étant deux réponses HTTP au lieu d'une. |
| Dissimulation de demandes HTTP | Technique d'attaque qui utilise les incohérences dans l'analyse des demandes HTTP non conformes à RFC entre deux périphériques HTTP pour faire passer une demande au deuxième périphérique "au travers" du premier. |
| Fractionnement de demande HTTP | Le fractionnement de demande HTTP est une attaque qui force le navigateur à envoyer des demandes HTTP arbitraires, ce qui met en œuvre la technique cross-site scripting (XSS) et empoisonne le cache du navigateur. |
| Dépassements d'entier | Condition qui survient lorsque le résultat d'une opération arithmétique, comme une multiplication ou une addition, dépasse la taille maximale du type d'entier utilisé pour le stocker. |
| Injection LDAP | Technique d'attaque utilisée pour exploiter les sites Web qui créent des instructions LDAP à partir des entrées utilisateur. |
| Injection de commande de messagerie | Technique d'attaque utilisée pour exploiter les serveurs de messagerie et les applications de courrier Web qui construisent des déclarations IMAP/SMTP à partir d'entrées fournies par l'utilisateur qui ne sont pas correctement assainies. |
| Injection d'octet null | Technique d'exploitation active utilisée pour contourner les filtres de contrôle d'exactitude dans l'infrastructure Web en ajoutant des caractères de type octet nul codé dans l'URL aux données fournies par l'utilisateur. |
| Injection de commandes OS | Technique d'attaque utilisée pour exploiter les sites Web en exécutant les commandes du système d'exploitation via la manipulation des entrées de l'application. |
| Traversée de répertoires | Technique d'attaque qui force l'accès aux fichiers, répertoires et commandes résidant potentiellement en dehors du répertoire racine des documents Web. |
| Emplacement de ressource prévisible | Technique d'attaque destinée à découvrir, par suppositions, les fonctionnalités et le contenu masqués d'un site Web. |
| Inclusion RFI | Technique d'attaque utilisée pour exploiter les mécanismes d'inclusion de fichier dynamique ("dynamic file include") dans les applications Web pour inciter l'application à inclure des fichiers distants comportant du code malveillant. |
| Détour du routage | Attaque "d'interception" dans laquelle des intermédiaires peuvent être injectés ou "détournés" dans le but de router des messages sensibles vers un emplacement extérieur. |
| Fixation de session | Technique d'attaque qui impose une valeur explicite à un identificateur de session utilisateur. Une fois l'identificateur de session utilisateur fixé, le pirate attend qu'il se connecte. Lorsque l'utilisateur est connecté, le pirate utilise la valeur d'identificateur de session prédéfinie pour découvrir son identité en ligne. |
| Validation de récupération de mot de passe faible | Lorsqu'un site Web permet à un pirate d'obtenir, de modifier ou de récupérer illégitimement le mot de passe d'un autre utilisateur. |
| Abus de tableau SOAP | Un service Web fonctionnant avec des tableaux peut être la cible d'une attaque par saturation XML si le serveur SOAP est forcé à générer un tableau de très grande dimension dans la mémoire de la machine, infligeant ainsi une condition DoS sur la machine à cause de la préallocation de mémoire. |
| Injection d'inclusion SSI | Technique d'exploitation côté serveur qui autorise un pirate à envoyer du code dans une application Web, qui sera ensuite exécuté localement par le serveur Web. |
| Injection SQL | Technique d'attaque utilisée pour exploiter les sites Web qui créent des instructions SQL à partir des entrées utilisateur. |
| Abus de redirection d'URL | Le réacheminement d'URL représente une fonctionnalité communément employée par les sites Web pour transmettre une requête entrante vers une autre ressource. Elle peut être utilisée pour des attaques par hameçonnage. |
| Injection XPath | Technique d'attaque utilisée pour exploiter les sites Web qui construisent des requêtes XPath à partir des entrées utilisateur. |
| Agrandissement d'attribut XML | Attaque par saturation visant les analyseurs XML. |
| Entités externes XML | Cette technique tire parti d'une fonctionnalité du langage XML pour générer dynamiquement des documents au moment du traitement. Un message XML peut fournir des données de manière explicite ou pointer vers un URI où les données sont disponibles. Avec cette technique d'attaque, des entités externes peuvent remplacer la valeur de l'entité par des données malveillantes ou des renvois alternatifs, ou peuvent compromettre la sécurité des données auxquelles le serveur ou l'application XML a accès. |
| Expansion d'entité XML | Elle exploite une capacité des DTD XML qui permet la création de macros personnalisées, appelées entités, qui peuvent être utilisées dans un document. En définissant récursivement un ensemble d'entités personnalisées en tête d'un document, un attaquant peut submerger les analyseurs qui tentent de résoudre complètement les entités en les obligeant à parcourir presque indéfiniment ces définitions récursives. |
| Injection XML | L'injection XML est une technique d'attaque utilisée pour manipuler ou compromettre la logique d'un service ou d'une application XML. L'injection de contenu et/ou de structures XML accidentels dans un message XML peut modifier la logique prévue de l'application. De plus, l'injection XML peut provoquer l'insertion de contenus malveillants dans le message ou document obtenu. |
| Injection XQuery | L'injection XQuery est une variante de l'attaque par injection SQL classique, contre le langage XQuery en XML. Elle utilise des données incorrectement validées qui sont passées aux commandes XQuery. |
Failles
Nom |
Description abrégée |
|---|---|
| Problème de configuration de l'application | Ces attaques tirent parti des failles de configuration détectées dans les applications Web. |
| Indexation de répertoire | L'indexation automatique de répertoire est une fonction de serveur Web qui liste tous les fichiers du répertoire concerné en l'absence du fichier de base normal (index.html/home.html/default.htm). Des vulnérabilités logicielles combinées à une demande Web spécifique peuvent engendrer un listage involontaire des répertoires. |
| Droits d'accès inadéquats au système de fichiers | Menace pour la confidentialité, l'intégrité et la disponibilité d'une application Web. Le problème survient lorsque des droits d'accès incorrects au système de fichiers sont définis pour des fichiers, dossiers et liens symboliques. |
| Traitement incorrect des entrées | L'une des failles les plus courantes identifiées à l'heure actuelle parmi les applications. La mauvaise gestion des entrées est la principale cause des vulnérabilités critiques dans les systèmes et les applications. |
| Traitement incorrect des sorties | Si le traitement des sorties d'une application est incorrect, les données sortantes peuvent être à l'origine de vulnérabilités et d'actions que le développeur de l'application n'avait pas prévues. |
| Fuite d'informations | Faille d'une application dans laquelle cette dernière révèle des données sensibles, telles que des détails techniques de l'application Web, des informations sur l'environnement ou des données spécifiques à l'utilisateur. |
| Indexation non sécurisée | Menace pour la confidentialité des données du site Web. L'indexation de contenus de site Web par un processus ayant accès à des fichiers qui ne sont pas censés être accessibles publiquement constitue une fuite potentielle d'informations concernant l'existence de tels fichiers et leur contenu. Dans le processus d'indexation, ces informations sont recueillies et stockées par le processus d'indexation, et peuvent être récupérées plus tard par un agresseur déterminé, généralement au moyen d'une série de requêtes sur le moteur de recherche. |
| Anti-automatisation insuffisante | Lorsqu'un site Web permet à un pirate d'automatiser un processus qui ne devrait être exécuté que manuellement. |
| Authentification insuffisante | Lorsqu'un site Web autorise un pirate à accéder à un contenu ou à une fonctionnalité sensible sans avoir à s'authentifier correctement. |
| Autorisation insuffisante | Lorsqu'un site Web autorise l'accès à des contenus ou à une fonctionnalité sensibles qui devraient être assortis de restrictions d'accès renforcées. |
| Restauration de mot de passe insuffisante | Lorsqu'un site Web permet à un pirate d'obtenir, de modifier ou de récupérer illégalement le mot de passe d'un autre utilisateur. |
| Validation de processus insuffisante | Lorsqu'un site Web autorise un pirate à contourner ou à faire échouer le contrôle du débit prévu d'une application. |
| Expiration de session insuffisante | Se produit lorsqu'un site Web autorise un pirate à réutiliser d'anciens ID session ou données d'identification de session comme autorisation. |
| Protection de la couche transport insuffisante | Expose la communication à des tiers non fiables. |
| Problème de configuration du serveur | Exploite les failles de configuration détectées sur les serveurs Web et les serveurs d'applications. |