威脅類別清單
「WASC 威脅分類」是合作成果,用以分類可能導致危害網站、網站資料或使用者的弱點和攻擊。下列位置可以找到更多關於「WASC 威脅分類」的詳細資料:http://projects.webappsec.org/w/page/13246978/Threat%20Classification
在 AppScan Standard 中,不會使用所有的 WASC 威脅分類,還有其他分類(例如,偽造伺服器端要求)沒有 WASC 分類。
威脅類別 | 說明 |
---|---|
catAbuseOfFunctionality | 這個攻擊技術利用網站本身的特性和功能,來耗用、詐騙或規避存取控制機制。 |
catApplicationMisconfiguration | 這些攻擊會不當運用在 Web 應用程式中發現的配置弱點。 |
catPrivacy | 機密性資訊是以明碼儲存在磁碟中。 |
catQuality | 安全機制中的錯誤配置或缺失可能導致極端的後果。 |
catBruteForce | 這是一個自動化的試誤法程序,用來猜測一個人的使用者名稱、密碼、信用卡號碼,或加密金鑰。 |
catBufferOverflow | 這類攻擊利用資料來改寫記憶體的若干部分,且資料超出所配置的緩衝區大小,從而變更應用程式的流程。 |
catContentSpoofing | 這是一種用來愚弄使用者的攻擊技術,讓使用者相信顯示在網站上的特定內容合法,且並非取自外部來源。 |
catCredentialSessionPrediction | 這是藉由演繹或猜測用來識別特定階段作業或使用者的唯一值,從而強制存取或假冒網站使用者的方法。 |
catCrossSiteRequestForgery | 在受害者不知情的情況下,強制傳送 HTTP 要求到目標目的地,以受害者的身分來執行動作的攻擊手法。 |
catCrossSiteScripting | 這是一種強迫網站回應使用者瀏覽器所載入、攻擊者所提供之執行碼的攻擊技術。 |
catDenialOfService | 這個攻擊技術意在阻止網站處理一般使用者活動。 |
catDirectoryIndexing | 自動化目錄清單/檢索是一項 Web 伺服器功能,如果正常的基本檔案 (index.html/home.html/default.htm) 不存在,便會列出要求之目錄中的所有檔案。軟體漏洞與特定的 Web 要求結合起來,便可能非預期地取得目錄清單。 |
catFingerprinting | 攻擊者最常用的方法是先留下目標的 Web 存在足跡,並且盡可能地列舉出資訊。利用這些資訊,攻擊者就可以發展出精準的攻擊情境,有效地利用目標主機所使用的軟體類型/版本中的漏洞。 |
catFormatStringAttack | 這類攻擊利用字串格式化類別庫特性來存取其他記憶體空間,從而變更應用程式的流程。 |
catHTTPRequestSmuggling | 在剖析二個 HTTP 裝置之間非 RFC 符合的 HTTP 要求時,濫用其間的不相符,「透過」第一個裝置夾帶要求至第二個裝置的攻擊技術。 |
catHTTPRequestSplitting | 「分割 HTTP 要求」是可以強制瀏覽器傳送任意的 HTTP 要求,導致 XSS 和瀏覽器快取中毒的攻擊。 |
catHTTPResponseSmuggling | 透過預期(或允許)來自伺服器單一回應的媒介 HTTP 裝置,從伺服器「走私」2 個 HTTP 回應到用戶端的技術。 |
catHTTPResponseSplitting | 「分割 HTTP 回應」的本質是攻擊者可以傳送單一 HTTP 要求,強制 Web 伺服器組成輸出串流,然後讓目標解譯為二個 HTTP 回應,而不是一個。 |
catImproperFilesystemPermissions | 對於 Web 應用程式的機密性、完整性和可用性的威脅。如果檔案、資料夾和符號鏈結設定了不正確的檔案系統許可權,就會發生問題。 |
catImproperInputHandling | 這是現在所有應用程式之間最常被識別出來的弱點之一。輸入內容處理不足是系統和應用程式中存在重大漏洞的主因。 |
catImproperOutputHandling | 如果應用程式輸出處理不當,輸出資料可能會被利用而導致漏洞及產生絕非應用程式開發者所想要的動作。 |
catInformationLeakage | 應用程式會揭露機密資料(例如 Web 應用程式的技術詳細資料、環境或使用者特定的資料)的應用程式弱點。 |
catInsecureIndexing | 對於網站資料機密性的威脅。透過具備檔案存取權的程序為網站內容編製索引,且該檔案不應為可供公開存取的狀態,則這類檔案存在和檔案內容的相關資訊則可能遭到洩漏。在檢索的過程中,檢索程序會收集和儲存這些資訊,意志堅定的攻擊者就可以擷取這些資訊,通常是透過一系列的搜尋引擎查詢。 |
catInsufficientAntiAutomation | 這是指僅應手動執行的程序,網站允許攻擊者以自動化方式來執行。 |
catInsufficientAuthentication | 當網站允許攻擊者未經適當鑑別,就存取機密內容或功能時,便出現這個情況。 |
catInsufficientAuthorization | 當網站允許存取的機密內容或功能,應該要求增強的存取控制限制時,便出現這個情況。 |
catWeakPasswordRecoveryValidation | 當網站允許攻擊者不合法地取得、變更或回復另一位使用者的密碼時,便出現這個情況。 |
catInsufficientProcessValidation | 這是指網站允許攻擊者略過或規避預期的應用程式流程控制。 |
catInsufficientSessionExpiration | 當網站允許攻擊者重複使用舊的階段作業認證或階段作業 ID 來進行授權時,便出現這個情況。 |
catInsufficientTransLayerProtection | 使通訊內容曝露給不受信任的第三方。 |
catIntegerOverflow | 當算術運算(例如,乘法或加法)的結果超過了用以儲存的整數類型大小上限時所發生的狀況。 |
catLDAPInjection | 這種攻擊技術會不當運用以使用者提供的輸入建構 LDAP 陳述式的網站。 |
catMailCommandInjection | 這種攻擊技術會利用使用者提供且未經消毒的輸入內容來建構 IMAP/SMTP 陳述式,得以不當運用郵件伺服器和 Web 郵件應用程式。 |
catMaliciousContent | 應用程式包含似乎是惡意的程式碼。 |
catNullByteInjection | 這種主動式不當運用技術可以將 URL 編碼的空值位元組字元加入使用者提供的資料中,得以避開 Web 基礎架構中的消毒檢查過濾器。 |
catOSCommanding | 這個攻擊技術藉由操作應用程式輸入來執行作業系統指令,從而得以不當運用網站。 |
catPathTraversal | 這是一種強制存取可能在 Web 文件根目錄外的檔案、目錄和指令的技術。 |
catPredictableResourceLocation | 這是一種依據經驗猜測,用來揭露隱藏的網站內容和功能的攻擊技術。 |
catRemoteFileInclusion | 這種攻擊技術會不當運用 Web 應用程式中的「動態檔案併入」機制,欺騙應用程式併入含有惡意程式碼的遠端檔案。 |
catRoutingDetour | 這是「中間第三人」的攻擊類型,可以注入或「強制存取」媒介,將機密訊息遞送到外部位置。 |
catServerMisconfiguration | 不當運用在 Web 伺服器和應用程式伺服器中發現的配置弱點。 |
catServerSideRequestForgery | 使用者輸入的處理、消毒或驗證不正確,這些輸入包含稍後與 URI 結合的元素。 |
catSessionFixation | 這是一種強制使用者階段作業 ID 成為某個明確值的攻擊技術。使用者的階段作業 ID 固定之後,攻擊者便等待他們登入。使用者登入之後,攻擊者便利用預先定義的階段作業 ID 值來奪取他們的線上身分。 |
catSOAPArrayAbuse | 預期接受陣列的 Web 服務可能會成為 XML DoS 攻擊的目標,利用強制 SOAP 伺服器在機器的記憶體中建置巨大的陣列,導致因為記憶體預先配置而在機器上發生 DoS 狀況。 |
catSQLInjection | 這個攻擊技術從使用者提供的輸入建構 SQL 陳述式,從而得以不當運用網站。 |
catSSIInjection | 這是一種伺服器端不當運用的技術,可讓攻擊者將程式碼傳入 Web 應用程式,以便 Web 伺服器稍後在本端執行它。 |
catURLRedirectoryAbuse | URL 重新導向程式代表網站用以將送入的要求轉遞給替代資源的一般功能,可能會被用於網路釣魚攻擊。 |
catUserDefined | 由使用者建立的測試。 |
catXMLAttributeBlowup | 針對 XML 剖析器的阻斷服務攻擊。 |
catXMLEntityExpansion | 不當運用 XML DTD 可以建立自訂巨集、被呼叫實體而且可透過文件使用的功能。利用在文件頂端遞迴定義一組自訂實體,攻擊者可以強制剖析器幾乎是無限地反覆運算這些遞迴定義,而使試圖完全解析實體的剖析器摧垮。 |
catXMLExternalEntities | 這種技術會利用 XML 的特性,在處理時動態建置文件。XML 訊息可以明確地提供資料,或指向資料所在的 URI。在攻擊技術中,外部實體可能會以惡意資料、替代轉介來取代實體值,或者可能危害伺服器/XML 應用程式可存取的資料安全性。 |
catXMLInjection | 這種攻擊技術會操作或危害 XML 應用程式或服務的邏輯。將不想要的 XML 內容及/或結構注入 XML 訊息,可能會改變應用程式原有的邏輯。更進一步,XML 注入可能會讓惡意內容插入產生的訊息/文件中。 |
catXPathInjection | 這種攻擊技術會不當運用以使用者提供的輸入建構 XPath 查詢的網站。 |
catXQueryInjection | 「XQuery 注入」是典型 SQL 注入攻擊的變形,專門針對 XML XQuery 語言。「XQuery 注入」會利用傳遞給 XQuery 指令的不當驗證的資料。 |