WASC Threat Classification 安全威胁分类

对于初次学习安全知识的人而言,学习安全威胁的分类无疑是非常重要的内容。

OWASP的webgoat项目也对一些安全问题进行了分类,但是其本意还是作为一种安全学习的范例,而不是作为安全问题分类独立存在。

Web Application Security Consortium(WASC),是一个由安全专家、行业顾问和诸多组织的代表组成的国际团体。他们负责为 WWW 制定被广为接受的应用安全标准。WASC 组织的关键项目之一是“Web 安全威胁分类”,英文Threat Classification”,也就是将 Web 应用所受到的威胁、攻击进行说明并归纳成具有共同特征的分类。该项目的目的是针对 Web 应用的安全隐患,制定和推广行业标准术语。WASC Threat Classification已经发行到2.0版本,比1.0多了不少内容,具体的文档可以从http://www.webappsec.org/这个网站查找到。(有的页面需要翻墙)。

从官网上抄下来这些名称。

Attacks

Weaknesses

Abuse of Functionality

Application Misconfiguration

Brute Force

Directory Indexing

Buffer Overflow

Improper Filesystem Permissions

Content Spoofing

Improper Input Handling

Credential/Session Prediction

Improper Output Handling

Cross-Site Scripting

Information Leakage

Cross-Site Request Forgery

Insecure Indexing

Denial of Service

Insufficient Anti-automation

Fingerprinting

Insufficient Authentication

Format String

Insufficient Authorization

HTTP Response Smuggling

Insufficient Password Recovery

HTTP Response Splitting

Insufficient Process Validation

HTTP Request Smuggling

Insufficient Session Expiration

HTTP Request Splitting

Insufficient Transport Layer Protection

Integer Overflows

Server Misconfiguration

LDAP Injection

 

Mail Command Injection

 

Null Byte Injection

 

OS Commanding

 

Path Traversal

 

Predictable Resource Location

 

Remote File Inclusion (RFI)

 

Routing Detour

 

Session Fixation

 

SOAP Array Abuse

 

SSI Injection

 

SQL Injection

 

URL Redirector Abuse

 

XPath Injection

 

XML Attribute Blowup

 

XML External Entities

 

XML Entity Expansion

 

XML Injection

 

XQuery Injection

 
阅读更多
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭