風險清單

風險名稱

說明
tempScriptDownload 有可能下載暫時 Script 檔,從而顯現應用程式邏輯及使用者名稱和密碼之類的其他機密資訊。
sourceCodeDisclosure 有可能擷取伺服器端 Script 的原始碼,從而顯現應用程式邏輯及使用者名稱和密碼之類的其他機密資訊。
pathDisclosure 有可能擷取 Web 伺服器安裝架構的絕對路徑,從而協助攻擊者擬訂進一步的攻擊,以及取得 Web 應用程式之檔案系統結構的其他資訊。
directoryListing 有可能檢視及下載特定 Web 應用程式虛擬目錄的內容,其中可能含有受限制的檔案。
envVariablesExposure 有可能顯現伺服器環境變數,從而協助攻擊者擬訂對 Web 應用程式進一步的攻擊。
anyFileDownload 有可能檢視 Web 伺服器上任何檔案(例如:資料庫、使用者資訊或配置檔)的內容(在 Web 伺服器使用者的許可權限制之下)。
userImpersonation 有可能竊取客戶階段作業和 Cookie,用來假冒合法的使用者,讓駭客得以檢視或變更使用者記錄,以及利用這個使用者身分來執行交易。
remoteCommandExecution 有可能在 Web 伺服器上執行遠端指令。這通常表示會徹底危害伺服器及其內容。
cacheFilesDownload 有可能檢視快取檔的內容,其中可能包含關於 Web 應用程式的機密性資訊。
debugErrorInformation 有可能收集機密的除錯資訊。
eShoplifting 有可能竊取貨品或服務 (eShoplifting)。
denialOfService 有可能防止 Web 應用程式服務其他使用者(阻斷服務)。
privilegeEscalation 有可能升級使用者專用權,取得 Web 應用程式的管理許可權。
genericWorstCase 有可能暗中破壞應用程式邏輯。
configurationFile

可下載

 有可能下載或檢視配置檔的內容,其中可能含有使用者名稱和密碼之類的重要資訊。
sensitiveInformation 有可能收集 Web 應用程式的機密資訊,如使用者名稱、密碼、機器名稱及/或機密檔位置。
genericWorstCaseJavaScript™ 有可能不當運用 JavaScript;風險範圍會隨著用戶端修改頁面的環境定義而不同。
genericWorstCaseJSCookie 有可能不當運用 JSCookie 程式碼;風險範圍會隨著用戶端所建立之 Cookie 的環境定義及角色而不同。
emailSpoofing 有可能利用盜用的電子郵件位址,透過您的 Web 應用程式來傳送電子郵件。
siteDefacement 有可能上傳、修改或刪除 Web 伺服器上的網頁、Script 和檔案。
databaseManipulations 有可能檢視、修改或刪除資料庫項目和表格(SQL 注入)。
authBypass 有可能略過 Web 應用程式的鑑別機制。
siteStructureRevealed 有可能擷取網站檔案系統結構的其他資訊,因而助長攻擊者探勘網站。
publisherInformation

顯示

 有可能擷取機密的 FrontPage 發佈資訊。
dataResourceDownload 有可能存取儲存在機密資料資源中的資訊。
sensitiveNotOverSSL 有可能竊取機密資料,如傳送時未加密的信用卡號碼、社會保險號碼等。
loginNotOverSSL 有可能竊取使用者登入資訊,如傳送時未加密的使用者名稱和密碼。
unsecureCookieInSSL 有可能竊取加密階段作業期間所傳送的使用者和階段作業資訊 (Cookie)。
sessionCookieNotRAM 有可能竊取在磁碟上保存為永久 Cookie 的階段作業資訊 (Cookie)。
網路詐騙 有可能說服無經驗而易受騙的使用者提供機密性資訊,如:使用者名稱、密碼、信用卡號碼、社會保險號碼等等
cachePoisoning 可能會透過 Web 快取中毒來破壞網站內容。
attackFacilitation 可能會讓攻擊者利用 Web 伺服器來攻擊其他網站,以提高其匿名程度。
maliciousContent n/a
clientCodeExecution 可能在 Web 應用程式的用戶端上執行任意的程式碼。
siteImpersonation 因為使用其他的攻擊向量,惡意攻擊程式無法假冒此網站。