针对复杂的web应用程序安全问题,由安全专家、行业顾问和诸多组织的代表组成的国际团体WASC(web application security consortium,web应用安全联盟)于2010年发布的WASC Threat Classification 2.0(WASC威胁分类2.0)报告中,将web应用受到的威胁、攻击进行了说明,并归纳具有共同特征的分类。
功能滥用:利用web站点自身的特性和功能来使用、蒙骗或阻挠访问控制机制的一种攻击方法。
暴力攻击:使用穷举测试来猜测个人的用户名、密码、信用卡账号或密钥的过程。
缓冲区溢出:通过覆盖部分内存来改变应用程序流的攻击方式。
内容电子欺骗:用于骗取用户相信web站点上出现的某些内容合法且不是来自外部源的一种攻击方法。
凭证/会话预测:是一种操纵或假冒web站点用户的方法。推断或猜测识别特定会话或用户的唯一值,以完成攻击行为。
拒绝服务:拒绝服务是旨在阻止web站点为正常用户活动提供服务的一种攻击方法。
目录索引:自动目录列表/索引是一项服务器功能,在没有普通基本文件(index,.html/home.html/default.htm)的情况下,该功能会列出所请求目录中的所有文件。
格式化字符串攻击:会使用字符串格式化库功能来访问其他内存空间,以改变应用程序流。
信息泄露:指web站点显示可能会威胁攻击者攻击系统的敏感数据(如开发者注释或错误消息)。
抗自动化能力不足:指web站点准许攻击者将应当仅手动执行的过程自动化。
认证不充分:指web站点准许攻击者访问敏感内容或功能而未对其访问许可权进行适当认证。
权限不足:指web站点准许访问应当需要提高访问控制限制的敏感内容或功能。
不充分处理验证:指web站点准许攻击者绕过或回避计划的应用程序流量控制。
会话有效期不足:指web站点准许攻击者复用旧会话凭证或会话标识以进行授权。会话有效期不足将增加web站点受攻击(窃取或假冒其他用户)的可能性。
LDAP注入:是一种攻击方法,它通过用户提供的输入来构造LDAP(lightweight directory access protocol)控制语句,进而攻击web站点。
操作系统命令:是一种攻击方法,它通过操纵应用程序输入来执行操作系统命令,进而攻击web站点。
路径遍历:路径遍历攻击方法会强制访问可能位于文档根目录外的文件、目录和命令。
可预测资源位置:是用于显示隐藏web站点内容和功能的一种攻击方法,该攻击通过强行搜索,以查找不打算供公共查看的内容。临时文件、备份文件、配置文件和样本文件这些示例都是潜在的剩余文件。
会话固定:该攻击方法会强制赋予用户的会话标识一个确定值。
SQL注入:是一种攻击方法,它通过用户提供的输入来构造SQL语句,进而攻击web站点。
SSI注入:SSI(server side includes,服务器端包含)注入是一种服务器端攻击方法,该方法允许攻击者将代码发送到随后将由web服务器在本地执行的应用程序。
弱密码恢复验证:指web站点准许攻击者非法获取、更改或恢复其他用户的密码。
xpath注入:是一种攻击方法,它通过用户提供的输入来构造xpath查询,进而攻击web站点。
跨站脚本:跨站脚本(XSS)是强制web站点回传攻击者提供的可执行代码(加载在用户浏览器中)的一种攻击方法。受跨站脚本影响的用户账户可能会受操纵(cookie盗用),其浏览器可能会重定向到其他位置,或者可能显示用户正在访问的web站点所提供的欺骗性内容。