网络漏洞分类

一、适用范围
适用于威胁检测功能收录的所有漏洞，包括收集的公开漏洞以及收录的未公开漏洞。

二、漏洞类型
威胁信息安全漏洞划分为40种类型，分别是：缓冲区溢出、跨站脚本、DOS攻击、扫描、SQL注入、木马后门、病毒蠕虫、web攻击、僵尸网络、跨站请求伪造、文件包含、文件读取、目录遍历攻击、敏感信息泄露、暴力破解、代码执行漏洞、命令执行、弱口令、上传漏洞利用、webshell利用、配置不当/错误、逻辑/涉及错误、非授权访问/权限绕过、URL跳转、协议异常、网络钓鱼、恶意广告、网络欺骗、间谍软件、浏览器劫持、键盘记录、窃密木马、端口扫描、黑市工具、电子邮件、电脑病毒、网络蠕虫、文件下载、权限许可和访问控制、webshell上传

三、漏洞类型的判别过程
本指南中漏洞类型具有层次关系，在判别漏洞类型时可根据漏洞类型的层次树，自左向右依次进行判断。
具体过程如下：当进行到某节点时，（1）如果该节点为叶子节点，判断结束，漏洞类型为当前节点的类型；（2）否则该节点为中间节点，并且①根据漏洞信息无法进一步判断该漏洞属于当前节点的哪个子类型时，则漏洞类型为当前节点的类型；②否则，选择子类型节点，继续（1）和（2）。

四、漏洞类型描述
缓冲区溢出
描述: 软件在内存缓冲区上执行操作，但是它可以读取或写入缓冲区的预定边界以外的内存位置。某些语言允许直接访问内存地址，但是不能自动确认这些内存地址是有效的内存缓冲区。这可能导致在与其他变量、数据结构或内部程序数据相关联的内存位置上执行读/写操作。作为结果，攻击者可能执行任意代码、修改预定的控制流、读取敏感信息或导致系统崩溃。
跨站脚本
描述: 在用户控制的输入放置到输出位置之前软件没有对其中止或没有正确中止，这些输出用作向其他用户提供服务的网页。
跨站脚本漏洞通常发生在（1）不可信数据进入网络应用程序，通常通过网页请求；（2）网络应用程序动态地生成一个带有不可信数据的网页；（3）在网页生成期间，应用程序不能阻止Web浏览器可执行的内容数据，例如JavaScript，HTML标签，HTML属性、鼠标事件、Flash、ActiveX等；（4）受害者通过浏览器访问的网页包含带有不可信数据的恶意脚本；（5）由于脚本来自于通过web服务器发送的网页，因此受害者的web浏览器会在web服务器域的上下文中执行恶意脚本；（6）违反web浏览器的同源策略，同源策略是一个域中的脚本不能访问或运行其他域中的资源或代码。
DOS攻击
描述:拒绝服务攻击即是攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。 其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。
扫描
扫描:扫描是攻击者常用的工具手段，主要是为了搜集目标的各种信息，为了下一步攻击做准备。
SQL注入
描述: 软件使用来自上游组件的受外部影响的输入构造全部或部分SQL命令，但是没有过滤或没有正确过滤掉其中的特殊元素，这些元素可以修改发送给下游组件的预期SQL命令。
如果在用户可控输入中没有充分删除或引用SQL语法，生成的SQL查询可能会导致这些输入被解释为SQL命令而不是普通用户数据。利用SQL注入可以修改查询逻辑以绕过安全检查，或者插入修改后端数据库的其他语句，如执行系统命令。
木马后门
描述: 木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。 木马病毒其实是计算机黑客用于远程控制计算机的程序，将控制程序寄生于被控制的计算机系统中，里应外合，对被感染木马病毒的计算机实施操作
病毒蠕虫
描述: 蠕虫病毒是一种常见的计算机病毒。 它利用网络进行复制和传播，传染途径是网络和电子邮件。
web攻击
描述:主要是指针对web服务器的各种类型的攻击。
僵尸网络
描述: Botnet 是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络 。 攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。
跨站请求伪造
描述：Web应用程序没有或不能充分验证有效的请求是否来自可信用户。
如果web服务器不能验证接收的请求是否是客户端特意提交的，则攻击者可以欺骗客户端向服务器发送非预期的请求，web服务器会将其视为真实请求。这类攻击可以通过URL、图像加载、XMLHttpRequest等实现，可能导致数据暴露或意外的代码执行。
文件包含
描述: 由于程序编码的问题，导致攻击者可构造参数，包含并执行一个本地或远程的恶意的脚本文件，从而获得webshell等危险操作。可分为本地文件包含和远程文件包含
文件读取
在web安全中，任意文件读取漏洞是非常常见的一种漏洞，属于文件操作类漏洞，一般常见于PHP/java/python语言中，任意文件读取漏洞，顾名思义，就是可以任意读取服务器上部分或者全部文件的漏洞，攻击者利用此漏洞可以读取服务器敏感文件。
目录遍历攻击
描述:为了识别位于受限的父目录下的文件或目录，软件使用外部输入来构建路径。由于软件不能正确地过滤路径中的特殊元素，能够导致访问受限目录之外的位置。
许多文件操作都发生在受限目录下。攻击者通过使用特殊元素（例如，“…”、“/”）可到达受限目录之外的位置，从而获取系统中其他位置的文件或目录。相对路径遍历是指使用最常用的特殊元素“…/”来代表当前目录的父目录。绝对路径遍历（例如"/usr/local/bin"）可用于访问非预期的文件。
敏感信息泄露
描述:信息泄露是指有意或无意地向没有访问该信息权限者泄露信息。此类漏洞是由于软件中的一些不正确的设置造成的信息泄漏。
信息指（1）产品自身功能的敏感信息，如私有消息（2）或者有关产品或其环境的信息，这些信息可能在攻击中很有用，但是攻击者通常不能获取这些信息。信息泄露涉及多种不同类型的问题，并且严重程度依赖于泄露信息的类型。
暴力破解
描述:穷举法，或称为暴力破解法，是一种针对于密码的破译方法，即将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码，其可能共有10000种组合，因此最多尝试10000次就能找到正确的密码。理论上利用这种方法可以破解任何一种密码，问题只在于如何缩短试误时间。有些人运用计算机来增加效率，有些人辅以字典来缩小密码组合的范围。
代码执行漏洞
描述: 当应用在调用一些能将字符串转化成代码的函数（如PHP重的eval）时，没有考虑用户是否能控制这个字符串，将造成代码注入漏洞。狭义的代码注入通常指将可执行代码注入到当前页面中，如PHP的eval函数，可以将字符串代表的代码作为PHP代码执行，当用户能够控制这段字符串时，将产生代码注入漏洞（也称命令执行）。广义上的代码注入，可以覆盖大半安全漏洞的分类。
命令执行
描述： 软件使用来自上游组件的受外部影响的输入构造全部或部分操作系统命令，但是没有过滤或没有正确过滤掉其中的特殊元素，这些元素可以修改发送给下游组件的预期操作系统命令。
此类漏洞允许攻击者在操作系统上直接执行意外的危险命令。
弱口令
描述: 弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令，例如“123”、“abc”等，因为这样的口令很容易被别人破解，从而使用户的计算机面临风险，因此不推荐用户使用。
上传漏洞利用
描述: 网站web应用都有一些文件上传功能，比如文档、图片、头像、视频上传，当上传功能的实现代码没有严格校验上传文件的后缀和文件类型，此时攻击者就可以上传一个webshell到一个web可访问的目录上，并将恶意文件传递给PHP解释器去执行，之后就可以在服务器上执行恶意代码，进行数据库执行、服务器文件管理，服务器命令执行等恶意操作。根据网站使用及可解析的程序脚本不同，此处可以上传的恶意脚本可以是PHP、ASP、JSP文件，也可以是篡改后缀后的这几类脚本。
webshell利用
描述:主要是指攻击者使用webshell客户端或者浏览器连接webshell，达到对服务器操作控制的目的
配置不当/错误
描述: 此类漏洞指软件配置过程中产生的漏洞。该类漏洞并非软件开发过程中造成的，不存在于软件的代码之中，是由于软件使用过程中的不合理配置造成的。
逻辑/涉及错误
描述:逻辑漏洞是指由于程序逻辑不严或逻辑太复杂，导致一些逻辑分支不能够正常处理或处理错误，一般出现在一下几个方面1.任意密码修改（没有旧密码验证）2.越权访问3.密码找回4.交易支付金额
非授权访问/权限绕过
描述:程序没有进行身份验证或身份验证不足，此类漏洞是与身份验证有关的漏洞。
URL跳转
描述: 服务端未对传入的跳转url变量进行检查和控制，可能导致可恶意构造任意一个恶意地址，诱导用户跳转到恶意网站。由于是从可信的站点跳转出去的，用户会比较信任，所以跳转漏洞一般用于钓鱼攻击，通过转到恶意网站欺骗用户输入用户名和密码盗取用户信息，或欺骗用户进行金钱交易
协议异常
描述: 多数网络攻击是通过通信协议完成的,入侵引起的异常也表现为协议的异常。不符合协议规范，导致系统出现异常。
网络钓鱼
描述: 网络钓鱼（Phishing，与钓鱼的英语fishing发音相近，又名钓鱼法或钓鱼式攻击）是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息）的一种攻击方式。
恶意广告
描述: 恶意广告是种透过线上广告来散播恶意软体的一种广告。 恶意广告透过线上广告网路及网页的侵入型广告来散播恶意软体。 线上广告提供散步恶意软体一个温床因为可以透过其向使用者利用明显的宣传手法吸引点击。 因为广告内容可以在知名的网页上面显示，这点使网路犯罪者有了一个平台来散布恶意软体给一些没有注意广告或安全概念的使用者。
网络欺骗
描述: 网络欺骗就是使入侵者相信信息系统存在有价值的、可利用的安全弱点，并具有一些可攻击窃取的资源（当然这些资源是伪造的或不重要的），并将入侵者引向这些错误的资源。它能够显著地增加入侵者的工作量、入侵复杂度以及不确定性，从而使入侵者不知道其进攻是否奏效或成功。而且，它允许防护者跟踪入侵者的行为，在入侵者之前修补系统可能存在的安全漏洞。
间谍软件
描述: 间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。它能够削弱用户对其使用经验、隐私和系统安全的物质控制能力；使用用户的系统资源，包括安装在他们电脑上的程序；或者搜集、使用、并散播用户的个人信息或敏感信息
浏览器劫持
描述: 浏览器劫持是一种恶意程序，通过浏览器插件、BHO（浏览器辅助对象）、Winsock LSP等形式对用户的浏览器进行篡改，使用户的浏览器配置不正常，被强行引导到商业网站。 所谓浏览器劫持是指网页浏览器（IE等）被恶意程序修改。常见现象为主页及互联网搜索页变为不知名的网站、经常莫名弹出广告网页输入正常网站地址却连接到其他网站。收藏夹内被自动添加陌生网站地址等等。
键盘记录
描述: 键盘监听，又称键盘侧录，是指在使用键盘的人不知情的情况下，通过隐蔽的方式记录下键盘的每一次敲击的行为。[1]进行键盘监听可通过各种软硬件手段实现。目前最常见的方法为在客户计算机上植入木马程序后通过其实现键盘监听。
窃密木马
描述: 木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。 木马病毒其实是计算机黑客用于远程控制计算机的程序，将控制程序寄生于被控制的计算机系统中，里应外合，对被感染木马病毒的计算机实施操作。
端口扫描
描述: 端口扫描是指某些别有用心的人发送一组端口扫描消息，试图以此侵入某台计算机，并了解其提供的计算机网络服务类型（这些网络服务均与端口号相关）。端口扫描是计算机解密高手喜欢的一种方式。攻击者可以通过它了解到从哪里可探寻到攻击弱点。实质上，端口扫描包括向每个端口发送消息，一次只发送一个消息。接收到的回应类型表示是否在使用该端口并且可由此探寻弱点。
黑市工具
描述:
电子邮件
描述:电子邮件是—种用电子手段提供信息交换的通信方式，是互联网应用最广的服务。通过网络的电子邮件系统，用户可以以非常低廉的价格（不管发送到哪里，都只需负担网费）、非常快速的方式（几秒钟之内可以发送到世界上任何指定的目的地），与世界上任何一个角落的网络用户联系。
这里主要指的是利用电子邮件进行黑客攻击。
电脑病毒
描述: 计算机病毒（Computer Virus）是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。
网络蠕虫
描述: 计算机病毒（Computer Virus）是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。
文件下载
描述: 一些网站由于业务需求，往往需要提供文件查看或文件下载功能，但若对用户查看或下载的文件不做限制，则恶意用户就能够查看或下载任意敏感文件，文件查看与下载漏洞。
权限许可和访问控制
描述: 大多数web应用程序在功能对用户可见之前，验证功能级别的访问权限。但是，应用程序需要在每个功能被访问时在服务器端执行相同的访问控制检查。如果请求没有被验证，攻击者能够伪造请求以在未经适当授权时访问功能。
webshell上传
描述: webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。