威胁类列表
WASC 威胁分类是一项合作努力,旨在对可能导致网站、其数据或其用户受到威胁的漏洞和攻击进行分类。有关 WASC 威胁分类的更多详细信息可在以下位置获取:http://projects.webappsec.org/w/page/13246978/Threat%20Classification
在 AppScan Standard 中,并未使用所有的 WASC 威胁分类,并且存在其他没有 WASC 分类的分类(例如,服务器端请求伪造)。
| 威胁类 | 描述 |
|---|---|
| catAbuseOfFunctionality | 一种使用 Web 站点的自身特性和功能来对访问控制机制进行消耗、欺骗或规避的攻击方法。 |
| catApplicationMisconfiguration | 这些攻击对 Web 应用程序中找到的配置漏洞加以利用。 |
| catPrivacy | 敏感信息以明文形式存储到磁盘上。 |
| catQuality | 安全机制中的配置错误或缺陷可能导致严重后果。 |
| catBruteForce | 猜测个人的用户名、密码、信用卡号或密钥所使用的自动化反复试验过程。 |
| catBufferOverflow | 通过覆盖内存中超过所分配缓冲区大小的部分的数据来修改应用程序流的攻击。 |
| catContentSpoofing | 用于诱骗用户相信 Web 站点上出现的某些内容是合法、且不是来自外部源的内容的一种攻击方法。 |
| catCredentialSessionPrediction | 一种通过推断或猜测用于识别特定会话或用户的唯一值来盗取或仿冒 Web 站点用户的方法。 |
| catCrossSiteRequestForgery | 一种涉及强制受害者在目标不知情或无意愿的情况下向其发送 HTTP 请求,以便以受害者身份执行操作的攻击。 |
| catCrossSiteScripting | 一种强制 Web 站点回传攻击者提供的可执行代码(装入到用户浏览器中)的攻击方法。 |
| catDenialOfService | 一种旨在阻止 Web 站点为正常用户活动提供服务的攻击方法。 |
| catDirectoryIndexing | 自动目录列表/索引是一项 Web 服务器功能,此功能会在没有常规基础文件(index.html/home.html/default.htm)的情况下列出所请求目录内的所有文件。由于与特定 Web 请求相结合的软件漏洞,因此可能会列出意外目录。 |
| catFingerprinting | 攻击者的最常用方法是首先占用目标的 Web 范围,然后枚举尽可能多的信息。通过此信息,攻击者可以制定将有效利用目标主机所使用的软件类型/版本中的漏洞的准确攻击方案。 |
| catFormatStringAttack | 通过使用字符串格式化库功能访问其他内存空间来修改应用程序流的攻击。 |
| catHTTPRequestSmuggling | 一种滥用两台 HTTP 设备之间的非 RFC 兼容 HTTP 请求的解析差异来“通过”第一台设备将请求走私到第二台设备的攻击方法。 |
| catHTTPRequestSplitting | HTTP 请求分割是一种实现强制浏览器发送任意 HTTP 请求,从而施加 XSS 和毒害浏览器缓存的攻击。 |
| catHTTPResponseSmuggling | 一种通过期望(或允许)来自服务器的单个响应的中间 HTTP 设备将来自该服务器的 2 个 HTTP 响应“走私”到客户机的方法。 |
| catHTTPResponseSplitting | HTTP 响应分割的实质是攻击者能够发送会强制 Web 服务器形成输出流的单个 HTTP 请求,然后该输出流由目标解释为两个而不是一个 HTTP 响应。 |
| catImproperFilesystemPermissions | 对 Web 应用程序的机密性、完整性和可用性的威胁。当在文件、文件夹和符号链接上设置的文件系统许可权不正确时会发生此问题。 |
| catImproperInputHandling | 如今在应用程序之间识别的最常见漏洞之一。输入处理不当是系统和应用程序中存在的关键漏洞的主要原因。 |
| catImproperOutputHandling | 如果应用程序未适当处理输出,那么输出数据的使用可能会导致应用程序开发者从未意图的漏洞和操作。 |
| catInformationLeakage | 一种应用程序会揭示敏感数据(如 Web 应用程序、环境或特定于用户的数据的技术详细信息)的应用程序漏洞。 |
| catInsecureIndexing | 对 Web 站点的数据机密性的威胁。通过对本不应公开可访问的文件具有访问权的过程来索引 Web 站点内容有可能会泄露有关此类文件的存在性和有关其内容的信息。在建立索引的过程中,此类信息通过索引过程进行收集和存储,有决心的攻击者之后通常可以通过对搜索引擎的一系列查询来检索此类信息。 |
| catInsufficientAntiAutomation | 当 Web 站点允许攻击者将仅应手动执行的过程自动化时发生。 |
| catInsufficientAuthentication | Web 站点允许攻击者访问敏感内容或功能而不必进行适当认证。 |
| catInsufficientAuthorization | 当 Web 站点允许对应该需要更强访问控制限制的敏感内容或功能进行访问时发生。 |
| catWeakPasswordRecoveryValidation | 当 Web 站点允许攻击者非法获取、更改或恢复其他用户的密码时发生。 |
| catInsufficientProcessValidation | 当 Web 站点允许攻击者绕过或规避应用程序的预期流控制时发生。 |
| catInsufficientSessionExpiration | 当 Web 站点允许攻击者复用旧的会话凭证或会话标识来进行授权时发生。 |
| catInsufficientTransLayerProtection | 允许向不可信第三方显示通信。 |
| catIntegerOverflow | 当算术运算(如乘法或加法)的结果超过用于存储该运算的整数类型的最大大小时发生的情况。 |
| catLDAPInjection | 用于对通过用户提供的输入来构造 LDAP 语句的 Web 站点加以利用的攻击方法。 |
| catMailCommandInjection | 一种用于对通过用户提供的未适当清理的输入来构造 IMAP/SMTP 语句的邮件服务器和 Web 邮件应用程序加以利用的攻击方法。 |
| catMaliciousContent | 应用程序包含看似恶意的代码。 |
| catNullByteInjection | 一种用于通过将 URL 编码的空字节字符添加到用户提供的数据来绕过 Web 基础结构中的清理检查过滤器的主动攻击方法。 |
| catOSCommanding | 一种用于通过操纵应用程序输入来执行操作系统命令,从而对 Web 站点加以利用的攻击方法。 |
| catPathTraversal | 这是一种强制对可能驻留在 Web 文档根目录外的文件、目录和命令进行访问的方法。 |
| catPredictableResourceLocation | 一种用于通过做出有根据的猜测来显露所隐藏 Web 站点内容和功能的攻击方法。 |
| catRemoteFileInclusion | 一种用于利用 Web 应用程序中的“动态文件包含”机制骗取应用程序包含具有恶意代码的远程文件的攻击方法。 |
| catRoutingDetour | 一种可以注入或“劫持”中介以将敏感信息路由到外部位置的“中间人”攻击。 |
| catServerMisconfiguration | 利用在 Web 服务器和应用程序服务器中找到的配置漏洞。 |
| catServerSideRequestForgery | 对包含之后与 URI 连接的元素的用户输入的处理、清理或验证不正确。 |
| catSessionFixation | 将用户的会话标识强制变为显式值的一种攻击方法。在用户的会话标识定置后,攻击者会等待其登录。一旦用户进行登录,攻击者就会使用预定义的会话标识值来夺取其在线身份。 |
| catSOAPArrayAbuse | 一种期望数组可以是 XML DoS 攻击目标的 Web 服务,方法是强制 SOAP 服务器在机器内存中构建巨大的数组,从而因内存预分配而在机器上施加 DoS 条件。 |
| catSQLInjection | 一种用于对通过用户提供的输入来构建 SQL 语句的 Web 站点加以利用的攻击方法。 |
| catSSIInjection | 一种服务器端利用技术,攻击者通过它可以将代码发送到 Web 应用程序中,Web 服务器稍后将在本地执行此代码。 |
| catURLRedirectoryAbuse | URL 重定向器表示 Web 站点采用的将入局请求转发到备用资源的常见功能,并且可在钓鱼攻击中使用。 |
| catUserDefined | 用户创建的测试。 |
| catXMLAttributeBlowup | 一种针对 XML 解析器的拒绝服务攻击。 |
| catXMLEntityExpansion | 此方法对 XML DTD 中允许创建可在文档各处使用的定制宏(称为实体)的功能加以利用。通过以递归方式定义文档顶部的定制实体集,攻击者可以淹没尝试强制实体几乎无限迭代这些递归定义来完全解析实体的解析器。 |
| catXMLExternalEntities | 此方法利用 XML 的功能在处理时动态构建文档。XML 消息可以显式或者通过指向数据存在的 URI 来提供数据。在此攻击方法中,外部实体可以将实体值替换为恶意数据或备用引荐,或者可能危害服务器/XML 应用程序有权访问的数据的安全性。 |
| catXMLInjection | 一种用于操纵或破坏 XML 应用程序或服务的逻辑的攻击方法。将非意图 XML 内容和/或结构注入到 XML 消息中会变更应用程序的意图逻辑。此外,XML 注入还可导致将恶意内容插入到产生的消息/文档中。 |
| catXPathInjection | 用于对通过用户提供的输入来构造 XPath 查询的 Web 站点加以利用的一种攻击方法。 |
| catXQueryInjection | XQuery 注入是针对 XML XQuery 语言的经典 SQL 注入攻击的变体。XQuery 注入使用传递到 XQuery 命令的未适当验证的数据。 |