Liste des classes de menaces
La classification des menaces par le consortium WASC est un travail coopératif visant à classifier les failles et les attaques pouvant rendre vulnérable un site Web, ses données ou ses utilisateurs. Vous trouverez plus de détails sur la classification des menaces par le consortium WASC sur le site suivant :http://projects.webappsec.org/w/page/13246978/Threat%20Classification
Dans AppScan Standard, les classifications de menaces WASC ne sont pas toutes utilisées, et il existe des classifications supplémentaires (par exemple, falsification de requête côté serveur), qui n'ont pas de classification WASC.
| Classe de menace | Description |
|---|---|
| catAbuseOfFunctionality | Technique d'attaque qui utilise les caractéristiques et fonctionnalités d'un site Web pour se servir des mécanismes de contrôle d'accès, les utiliser de façon frauduleuse ou les faire échouer. |
| catApplicationMisconfiguration | Ces attaques tirent parti des failles de configuration détectées dans les applications Web. |
| catPrivacy | Informations sensibles stockées sur le disque en texte en clair. |
| catQuality | Les erreurs de configuration ou les failles d'un mécanisme de sécurité peuvent provoquer des conséquences désastreuses. |
| catBruteForce | Processus automatique par tâtonnement pour deviner le nom d'utilisateur, le mot de passe, le numéro de carte de crédit ou une clé cryptographique. |
| catBufferOverflow | Attaques qui altèrent le flux d'une application en écrasant des parties de la mémoire avec des données dépassant la taille allouée à la mémoire tampon. |
| catContentSpoofing | Technique d'attaque utilisée pour tromper un utilisateur et lui faire croire que le contenu qui apparaît sur un site Web est légitime et ne provient pas d'une source externe. |
| catCredentialSessionPrediction | Méthode de détournement ou d'usurpation d'identité pratiquée à l'encontre d'un utilisateur de site Web en déduisant ou devinant la valeur unique qui identifie une session ou un utilisateur spécifiques. |
| catCrossSiteRequestForgery | Attaque qui consiste à forcer une victime à envoyer une requête HTTP vers une destination cible, sans qu'elle n'en aie ni connaissance ni intention, afin d'effectuer une action en se faisant passer pour la victime. |
| catCrossSiteScripting | Technique d'attaque qui force un site Web à relayer le code exécutable fourni par le pirate, qui se charge dans le navigateur de l'utilisateur. |
| catDenialOfService | Technique d'attaque destinée à empêcher un site Web de fournir le service normal aux utilisateurs. |
| catDirectoryIndexing | L'indexation automatique de répertoire est une fonction de serveur Web qui liste tous les fichiers du répertoire demandé si le fichier de base normal (index.html/home.html/default.htm) n'est pas présent. Des vulnérabilités logicielles combinées à une demande Web spécifique peuvent occasionner un listage involontaire des répertoires. |
| catFingerprinting | La méthodologie la plus couramment utilisée par les pirates consiste d'abord à observer la présence internet de la cible et de rassembler le plus d'informations possible. Avec ces informations, l'agresseur peut développer un scénario d'attaque précis, qui exploitera efficacement une vulnérabilité du type ou de la version du logiciel utilisé par l'hôte cible. |
| catFormatStringAttack | Attaques qui altèrent le flux d'une application en utilisant des fonctions de bibliothèque de formatage de chaîne pour accéder à davantage d'espace mémoire. |
| catHTTPRequestSmuggling | Technique d'attaque qui utilise les incohérences dans l'analyse des demandes HTTP non conformes à RFC entre deux périphériques HTTP pour faire passer une demande au deuxième périphérique "au travers" du premier. |
| catHTTPRequestSplitting | Le fractionnement de demande HTTP est une attaque qui force le navigateur à envoyer des demandes HTTP arbitraires, ce qui met en oeuvre la technique cross-site scripting (XSS) et empoisonne le cache du navigateur. |
| catHTTPResponseSmuggling | La dissimulation de réponses HTTP est une technique permettant de "faire passer" 2 réponses HTTP d'un serveur à un client, via un périphérique HTTP intermédiaire qui attend (ou permet) une réponse unique du serveur. |
| catHTTPResponseSplitting | Le fractionnement de réponse HTTP est la capacité du pirate à envoyer une seule demande HTTP qui force le serveur Web à former un flux de sortie qui est ensuite interprété par la cible comme étant deux réponses HTTP au lieu d'une. |
| catImproperFilesystemPermissions | Menace pour la confidentialité, l'intégrité et la disponibilité d'une application Web. Le problème survient lorsque des droits d'accès incorrects au système de fichiers sont définis sur des fichiers, dossiers et liens symboliques. |
| catImproperInputHandling | L'une des failles les plus courantes identifiées à l'heure actuelle parmi les applications. Une entrée mal gérée est la principale cause responsable de vulnérabilités critiques existant dans les systèmes et les applications. |
| catImproperOutputHandling | Si une application dispose d'un traitement incorrect des sorties, les données sortantes peuvent conduire à des vulnérabilités et des actions que le développeur de l'application n'avait pas prévues. |
| catInformationLeakage | Faille d'une application dans laquelle cette dernière révèle des données sensibles, telles que des détails techniques de l'application Web, des informations sur l'environnement ou des données spécifiques à l'utilisateur. |
| catInsecureIndexing | Menace pour la confidentialité des données du site Web. L'indexation de contenus de site Web par un processus ayant accès à des fichiers qui ne sont pas censés être accessibles publiquement constitue une fuite potentielle d'informations concernant l'existence de tels fichiers et leur contenu. Dans le processus d'indexation, ces informations sont recueillies et stockées par le processus d'indexation, et peuvent être récupérées plus tard par un agresseur déterminé, généralement au moyen d'une série de requêtes sur le moteur de recherche. |
| catInsufficientAntiAutomation | Lorsqu'un site Web permet à un pirate d'automatiser un processus qui devrait uniquement être exécuté manuellement. |
| catInsufficientAuthentication | Un site Web autorise un pirate à accéder à un contenu ou à une fonctionnalité sensible sans avoir à s'authentifier correctement. |
| catInsufficientAuthorization | Se produit lorsqu'un site Web autorise l'accès à du contenu ou à une fonctionnalité sensible qui nécessite un contrôle d'accès accru. |
| catWeakPasswordRecoveryValidation | Lorsqu'un site Web permet à un pirate d'obtenir, de modifier ou de récupérer illégalement le mot de passe d'un autre utilisateur. |
| catInsufficientProcessValidation | Se produit lorsqu'un site Web autorise un pirate à contourner ou à faire échouer le contrôle du débit prévu d'une application. |
| catInsufficientSessionExpiration | Se produit lorsqu'un site Web autorise un pirate à réutiliser d'anciens ID session ou données d'identification de session comme autorisation. |
| catInsufficientTransLayerProtection | Expose la communication à des tiers qui ne sont pas dignes de confiance. |
| catIntegerOverflow | Condition qui survient lorsque le résultat d'une opération arithmétique, comme une multiplication ou une addition, dépasse la taille maximale du type d'entier utilisé pour le stocker. |
| catLDAPInjection | Technique d'attaque utilisée pour exploiter les sites Web qui créent des instructions LDAP à partir des entrées utilisateur. |
| catMailCommandInjection | Technique d'attaque utilisée pour exploiter les serveurs de messagerie et les applications de courrier Web qui construisent des déclarations IMAP/SMTP à partir d'entrées fournies par l'utilisateur qui ne sont pas correctement assainies. |
| catMaliciousContent | L'application contient du code qui semble malveillant. |
| catNullByteInjection | Technique d'exploitation active utilisée pour contourner les filtres de contrôle d'exactitude dans l'infrastructure Web en ajoutant des caractères de type octet nul codé dans l'URL aux données fournies par l'utilisateur. |
| catOSCommanding | Technique d'attaque utilisée pour exploiter les sites Web en exécutant les commandes du système d'exploitation via la manipulation des entrées de l'application. |
| catPathTraversal | Technique d'attaque qui force l'accès aux fichiers, répertoires et commandes résidant potentiellement en dehors du répertoire racine des documents Web. |
| catPredictableResourceLocation | Technique d'attaque destinée à découvrir, par suppositions, les fonctionnalités et le contenu masqués d'un site Web. |
| catRemoteFileInclusion | Technique d'attaque utilisée pour exploiter les mécanismes d'inclusion de fichier dynamique (dynamic file include) dans les applications Web pour inciter l'application à inclure des fichiers distants comportant du code malveillant. |
| catRoutingDetour | Attaque de type "Man in the Middle" dans laquelle des intermédiaires peuvent être injectés ou "détournés" dans le but de router des messages sensibles vers un emplacement extérieur. |
| catServerMisconfiguration | Exploite les failles de configuration détectées sur les serveurs Web et les serveurs d'applications. |
| catServerSideRequestForgery | Traitement, assainissement ou validation incorrect des entrées utilisateur contenant des éléments joints ultérieurement à l'URI. |
| catSessionFixation | Technique d'attaque qui impose une valeur explicite à un ID session utilisateur. Une fois l'identificateur de session utilisateur fixé, le pirate attend qu'il se connecte. Lorsque l'utilisateur est connecté, le pirate utilise la valeur d'ID session prédéfinie pour découvrir leur identité en ligne. |
| catSOAPArrayAbuse | Un service Web qui attend un tableau peut être la cible d'une attaque par saturation XML en forçant le serveur SOAP à générer un tableau énorme dans la mémoire de la machine, infligeant ainsi une condition DoS sur la machine à cause de la préallocation de mémoire. |
| catSQLInjection | Technique d'attaque utilisée pour exploiter les sites Web qui créent des instructions SQL à partir des entrées utilisateur. |
| catSSIInjection | Technique d'exploitation côté serveur qui autorise un pirate à envoyer du code dans une application Web, qui sera exécuté ultérieurement localement par le serveur Web. |
| catURLRedirectoryAbuse | La redirection d'URL représente une fonctionnalité communément employée par les sites internet pour transmettre une requête entrante vers une autre ressource. Elle peut être utilisée pour des attaques par hameçonnage. |
| catUserDefined | Test créé par l'utilisateur. |
| catXMLAttributeBlowup | Attaque par saturation visant les analyseurs XML. |
| catXMLEntityExpansion | Elle exploite une capacité des DTD XML qui permet la création de macros personnalisées, appelées entités, qui peuvent être utilisées dans un document. En définissant récursivement un ensemble d'entités personnalisées en tête d'un document, un agresseur peut submerger les analyseurs qui tentent de résoudre complètement les entités en les obligeant à parcourir presque indéfiniment ces définitions récursives. |
| catXMLExternalEntities | Cette technique tire parti d'une fonctionnalité du langage XML pour générer dynamiquement des documents au moment du traitement. Un message XML peut fournir des données de manière explicite ou pointer vers un URI où les données sont disponibles. Dans cette technique d'attaque, des entités externes peuvent remplacer la valeur de l'entité par des donnés malveillantes ou des renvois alternatifs, ou peuvent compromettre la sécurité des données auxquelles le serveur ou l'application XML a accès. |
| catXMLInjection | L'injection XML est une technique d'attaque utilisée pour manipuler ou compromettre la logique d'un service ou d'une application XML. L'injection de contenu et/ou de structures XML accidentels dans un message XML peut modifier la logique prévue de l'application. De plus, l'injection XML peut provoquer l'insertion de contenu malveillant dans le message ou document résultant. |
| catXPathInjection | Technique d'attaque utilisée pour exploiter les sites Web qui construisent des requêtes XPath à partir des entrées utilisateur. |
| catXQueryInjection | L'injection XQuery est une variante de l'attaque par injection SQL classique, contre le langage XQuery de XML. Elle utilise des données incorrectement validées, qui sont passées aux commandes XQuery. |