本文深入探讨了WASC(Web Application Security Consortium)的漏洞分类,对比OWASP,WASC提供了更具体的分类,如身份认证不足、会话凭证可预测等。文章指出WASC的分类有助于更精确地理解漏洞原理,如会话固定和防止自动化缺失,并举例说明了功能滥用和业务漏洞。同时,文中列举了多种WASC的漏洞类型,强调了一些难以通过日志或流量监测的攻击,如访问控制缺陷和跨站请求伪造。
本文针对WASC给出的分类,根据测试经验,进行进一步分析,从检测角度进一步完善攻击类型。
WASC的漏洞分类相比OWASP来说,更加的具体,比如OWASP就是失效的认证会话管理,WASC分开说:Insufficient Authentication(身份认证不足)、Credential/SessionPrediction(会话凭证可预测) 、Session Fixation(会话固定),从挖漏洞角度来看,确实更准确的说明了漏洞存在的原理,比如会话凭证可预测是指会话凭证,如token值不够随机,存在某种规律,可被攻击者破解,这样攻击者就可以伪造成合法用户进入系统了,会话固定是指登陆前后,会话的session值未更新,如果说攻击者拿到了之前的会话session信息,同样可以伪造成合法用户访问系统。
WASC还有一些更贴近业务的漏洞种类,比如:Insufficient Anti-Automation(防止自动化缺失),比如爬虫就是一种自动化技术,对我们的业务系统也有潜在的安全风险,而防止这种自动化的机器行为目前使用的最多的就是验证码,但如果验证码没有合理设置,比如验证码不过期这个漏洞,或者验证码可绕过,都是一种防止自动化缺失的漏洞。还有:Abuse of Functionality(功能滥用),这也是一种业务漏洞,比如常见的接口未设置合理的访问控制,如短信平台,攻击者可随意使用,导致短信炸弹,给用户和企业造成损失。<
最低0.47元/天 解锁文章
扫一扫
6529
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
