lördag 2 januari 2010

WASC Threat Classification v2.0

WASC (The Web Application Security Consortium) har precis släppt version 2.0 av sin hot-kategorisering: WASC Threat Classification. Det är ett bra referensmaterial för säkerhetsrapporter eller presentationer och innehåller beskrivningar och exempel på hot och attacker.

Här är den övergripande kategoriseringen:

AttacksWeaknesses
Abuse of FunctionalityApplication Misconfiguration
Brute ForceDirectory Indexing
Buffer OverflowImproper Filesystem Permissions
Content SpoofingImproper Input Handling
Credential/Session PredictionImproper Output Handling
Cross-Site ScriptingInformation Leakage
Cross-Site Request ForgeryInsecure Indexing
Denial of ServiceInsufficient Anti-automation
FingerprintingInsufficient Authentication
Format StringInsufficient Authorization
HTTP Response SmugglingInsufficient Password Recovery
HTTP Response SplittingInsufficient Process Validation
HTTP Request SmugglingInsufficient Session Expiration
HTTP Request SplittingInsufficient Transport Layer Protection
Integer OverflowsServer Misconfiguration
LDAP Injection
Mail Command Injection
Null Byte Injection
OS Commanding
Path Traversal
Predictable Resource Location
Remote File Inclusion (RFI)
Routing Detour
Session Fixation
SOAP Array Abuse
SSI Injection
SQL Injection
URL Redirector Abuse
XPath Injection
XML Attribute Blowup
XML External Entities
XML Entity Expansion
XML Injection
XQuery Injection

Inga kommentarer: