« Виконання коду в Microsoft IIS
Уразливості в плагінах для WordPress №26 »

Класифікація уразливостей WASC TC v2.0

22:44 31.01.2011

На початку 2010 року вийшла друга версія класифікації Web Application Security Consortium Threat Classification - WASC TC v2.0. Вона є продовженням WASC TC v1.0 і має значні відмінності від першої версії класифікації.

Серед нововведень другої версії класифікації виділю наступні. По-перше, в ній додані нові класи уразливостей. По-друге, з’явилися ідентифікатори класів уразливостей (що є зручним для посилання на WASC TC). По-третє, в новій версії класифікації немає категорій уразливостей, а є два різновиди: Атаки та Слабкості.

За новою версією класифікації WASC TC існують наступні класи уразливостей:

Атаки (Attacks):

Abuse of Functionality (WASC-42)
Brute Force (WASC-11)
Buffer Overflow (WASC-07)
Content Spoofing (WASC-12)
Credential/Session Prediction (WASC-18)
Cross-Site Scripting (WASC-08)
Cross-Site Request Forgery (WASC-09)
Denial of Service (WASC-10)
Fingerprinting (WASC-45)
Format String (WASC-06)
HTTP Request Splitting (WASC-24)
HTTP Response Splitting (WASC-25)
HTTP Request Smuggling (WASC-26)
HTTP Response Smuggling (WASC-27)
Integer Overflows (WASC-03)
LDAP Injection (WASC-29)
Mail Command Injection (WASC-30)
Null Byte Injection (WASC-28)
OS Commanding (WASC-31)
Path Traversal (WASC-33)
Predictable Resource Location (WASC-34)
Remote File Inclusion (WASC-05)
Routing Detour (WASC-32)
SOAP Array Abuse (WASC-35)
SSI Injection (WASC-36)
Session Fixation (WASC-37)
SQL Injection (WASC-19)
URL Redirector Abuse (WASC-38)
XPath Injection (WASC-39)
XML Attribute Blowup (WASC-41)
XML External Entities (XXE) (WASC-43)
XML Entity Expansion (WASC-44)
XML Injection (WASC-23)
XQuery Injection (WASC-46)

Слабкості (Weaknesses):

Application Misconfiguration (WASC-15)
Directory Indexing (WASC-16)
Improper Filesystem Permissions (WASC-17)
Improper Input Handling (WASC-20)
Improper Output Handling (WASC-22)
Information Leakage (WASC-13)
Insecure Indexing (WASC-48)
Insufficient Anti-automation (WASC-21)
Insufficient Authentication (WASC-01)
Insufficient Authorization (WASC-02)
Insufficient Password Recovery (WASC-49)
Insufficient Process Validation (WASC-40)
Insufficient Session Expiration (WASC-47)
Insufficient Transport Layer Protection (WASC-04)
Server Misconfiguration (WASC-14)


This entry was posted on 22:44 31.01.2011 and is filed under Статті. You can follow any responses to this entry through the RSS 2.0 feed.

Leave a Reply

You must be logged in to post a comment.