分类之WASC

      本文针对WASC给出的分类,根据测试经验,进行进一步分析,从检测角度进一步完善攻击类型。

      WASC的漏洞分类相比OWASP来说,更加的具体,比如OWASP就是失效的认证会话管理,WASC分开说:Insufficient Authentication(身份认证不足)、Credential/SessionPrediction(会话凭证可预测) 、Session Fixation(会话固定),从挖漏洞角度来看,确实更准确的说明了漏洞存在的原理,比如会话凭证可预测是指会话凭证,如token值不够随机,存在某种规律,可被攻击者破解,这样攻击者就可以伪造成合法用户进入系统了,会话固定是指登陆前后,会话的session值未更新,如果说攻击者拿到了之前的会话session信息,同样可以伪造成合法用户访问系统。

       WASC还有一些更贴近业务的漏洞种类,比如:Insufficient Anti-Automation(防止自动化缺失),比如爬虫就是一种自动化技术,对我们的业务系统也有潜在的安全风险,而防止这种自动化的机器行为目前使用的最多的就是验证码,但如果验证码没有合理设置,比如验证码不过期这个漏洞,或者验证码可绕过,都是一种防止自动化缺失的漏洞。还有:Abuse of Functionality(功能滥用),这也是一种业务漏洞,比如常见的接口未设置合理的访问控制,如短信平台,攻击者可随意使用,导致短信炸弹,给用户和企业造成损失。

          

说明:其实日志或者流量上是不能监测到一些攻击的,比如:

1、访问控制缺陷,这个漏洞是因为未对用户进行有效的访问控制,导致非法用户可以访问合法用户才能访问的系统,包括越权和未授权访问,但从日志或者流量上看,并没有明显的攻击特征。(需要通过黑名单白名单进行检测)

2、传输层保护缺失,比如http明文传输用户的敏感信息,如密码,是漏洞,但不是攻击行为。

3、跨站请求伪造,攻击者让受害者访问的请求可以说是“合法的”,受害者确实访问了这个链接,但是在不知情或者说受到欺骗的情况下,所以该攻击并不能监测到。

4、Insufficient Process Validation(过程验证缺失)

如下是WASC

WASC-01     Insufficient Authentication(身份认证不足)

WASC-02     Insufficient Authorization(访问控制缺陷  )  

WASC-03     Integer Overflows(整数溢出)

WASC-04     Insufficient Transport Layer Protection(传输层保护缺失   )  

WASC-05     Remote File Inclusion(远程文件包含)

WASC-06     Format String(格式化字符)

WASC-07     Buffer Overflow(缓冲区溢出)  

WASC-08     Cross-site Scripting(跨站脚本攻击)

WASC-09     Cross-site Request Forgery(跨站请求伪造 )

WASC-10     Denial of Service(拒绝服务)

 WASC-11     Brute Force(暴力破解) 

WASC-12     Content Spoofing(内容欺骗)

WASC-13     Information Leakage(信息泄露)   

WASC-14     Server Misconfiguration(服务错误配置)      

WASC-15     Application Misconfiguration(错误配置)

WASC-16     Directory Indexing(目录索引)

WASC-17     Improper Filesystem Permissions(不正确的文件系统权限)

WASC-18     Credential/Session Prediction(会话凭证可预测)    

WASC-19     SQL Injection(sql注入) 

WASC-20     Improper Input Handling    

WASC-21     Insufficient Anti-Automation(防止自动化缺失)   

WASC-22     Improper Output Handling 

WASC-23     XML Injection 

WASC-24     HTTP Request Splitting 

WASC-25     HTTP ResponseSplitting           

WASC-26     HTTP RequestSmuggling                              

WASC-27     HTTP Response Smuggling 

WASC-28     Null Byte Injection 

WASC-29     LDAP Injection         

·        LDAP注入攻击和SQL注入攻击相似,是利用用户引入的参数生成LDAP查询。在有漏洞的环境中,这些参数没有得到合适的过滤,因而攻击者可以注入任意恶意代码。使用得最广泛的LDAP:ADAM和OpenLDAP。

WASC-30     Mail Command Injection     

WASC-31     OS Commanding(操作系统命令注入)

WASC-32     Routing Detour

WASC-33     Path Traversal      

 WASC-34     Predictable Resource Location(可预测的资源位置)   

 WASC-35     SOAP Array Abuse

·          SOAP是基于XML实现的协议,存在SOAP Array Abuse和Href expansion攻击,这两种攻击本质是一样的,消耗服务器的内存资源,造成DOS拒绝服务攻击。原理很简单,定义一个很大的数组,或者通过href数组嵌套,构造很大的数组,服务器的soap解析器处理到这样的SOAP消息时,如果没有特别防御,就会在服务器上分配很大的内存,造成服务器资源耗尽。

 WASC-36      SSI Injection(服务器端包含注入)

·         (Server-sideIncludes) 服务器端包含提供了一种对现有HTML文档增加动态内容的方法。apache和iis都可以通过配置支持SSI,在网页内容被返回给用户之前,服务器会执行网页内容中的SSI标签。在很多场景中,用户输入的内容可以显示在页面中,比如一个存在反射XSS漏洞的页面,如果输入的payload不是xss代码而是ssi的标签,服务器又开启了ssi支持的话就会存在SSI漏洞。默认apache不开启ssi,ssi这种技术已经比较少用了。如果应用没有使用到ssi,关闭服务器对ssi的支持即可。

WASC-37     Session Fixation(会话固定)

WASC-38     URl Redirector Abuse(url重定向滥用) 

WASC-39     XPath Injection     

WASC-40     Insufficient Process Validation(过程验证缺失)                                    

WASC-41     XML Attribute Blowup 

WASC-42     Abuse of Functionality(功能滥用)

WASC-43     XML External Entities(xml外部实体)   

WASC-44     XML Entity Expansion(XML实体扩展攻击)

·        XMlEntity Expansion(攻击)某种程度上类似于 XML Entity Expansion,但是它主要试图通过消耗目标程序的服务器环境来进行DOS攻击的。这种攻击基于XML Entity Expansion实现,通过在XML的DOCTYPE中创建自定义实体的定义实现,比如,这种定义可以在内存中生成一个比XML的原始允许大小大出很多的XML结构,来使这种攻击得以耗尽网络服务器正常有效运行的必需内存资源。 

WASC-45     Fingerprinting(指纹识别)                                         

WASC-46     XQuery Injection  

WASC-47     Insufficient Session Expiration

WASC-48     InsecureIndexing                               

WASC-49     Insufficient Password Recovery  

 

 

 

你可能感兴趣的:(分类之WASC)