YD_T 3955-2021 WEB漏洞分类与定义指南.pdf

资源描述

1、 ICS 33.040 M10 中华人民共和国通信行业标准 WEB 漏洞分类与定义指南 Web vulnerability classification and definition guideline（报批稿）-发布-实施 YD YD/T XXXX202X ICS 33.040 M10 中华人民共和国工业和信息化部发布 YD/T 13912018 II 目录目录.II 前言.V WEB 漏洞分类与定义指南.1 1.范围.1 2.规范性引用文件.1 3.术语、定义和缩略语.1 3.1.术语和定义.1 3.2.缩略语.2 4.分类原则与说明.3 5.漏洞分类与定

2、义.3 5.1.注入类.3 5.1.1 SQL 注入.3 5.1.2 XPath 注入.4 5.1.3 LDAP 注入.4 5.1.4 CRLF 注入.4 5.1.5 服务器端包含注入.5 5.1.6 XML 外部实体注入.5 5.1.7 系统命令注入.5 5.1.8 EL 表达式注入.5 5.1.9 框架注入.5 5.1.10 链接注入.6 5.1.11 CSV 注入.6 5.2.XSS 跨站脚本.6 5.2.1.反射型 XSS.6 5.2.2.存储型 XSS.6 5.2.3.DOM 型 XSS.7 5.3.信息泄露.7 5.3.1 phpinfo 信息泄露.7 5.3.2 SVN 源码信息

3、泄露.7 5.3.3 IIS 短文件名泄露.7 5.3.4 CVS 相关文件泄露.7 5.3.5 robots.txt 泄露.7 5.3.6 源码泄露.8 5.3.7 物理路径信息泄露.8 5.3.8 Flash 文件源代码泄露.8 5.3.9 html 注释敏感信息泄露.8 YD/T 13912018 III 5.3.10 IIS location 信息泄露.8 5.3.11 连接数据库文件泄露.9 5.3.12 电话号码信息泄露.9 5.3.13 电子邮件信息泄露.9 5.3.14 内部 IP 地址泄露.9 5.3.15 git 信息泄露.9 5.3.16 日志信息泄露.9 5.3.17

4、备份文件泄露.9 5.3.18 测试用例文件泄露.10 5.3.19 数据库服务敏感信息泄露.10 5.3.20 文本信息泄露.10 5.3.21 配置文件泄露.10 5.3.22 错误页面 web 应用服务器版本信息泄露.10 5.3.23 Apache HTTP Server httpOnly Cookie 信息泄露漏洞.10 5.3.24.htaccess 文件泄露.11 5.3.25 网站地图文件泄露.11 5.3.26 测试目录泄露.11 5.3.27 网站管理后台泄露.11 5.3.28 web 应用默认目录泄露.11 5.4 服务配置缺陷.11 5.4.1 服务器启用了 TRAC

5、E 方法.11 5.4.2 WebDAV 远程代码执行.12 5.4.3 目录列表/索引可查看.12 5.4.4 不安全的 HTTP 方法.12 5.4.5 PUT 文件上传.12 5.5 cookie 安全缺陷.12 5.5.1 会话 cookie 中缺少 Secure 属性.12 5.5.2 会话 cookie 中缺少 HttpOnly 属性.13 5.5.3 不安全的 Session/token 传输.13 5.5.4 永久性 cookie.13 5.6 常见数据库文件下载.13 5.7 劫持与重定向.13 5.7.1 点击劫持.13 5.7.2 未限制的 URL 重定向.14 5.7.

6、3 跨站请求伪造.14 5.8 任意文件上传.14 5.9 任意文件下载.14 5.10 任意密码重置.14 5.11 信息残留.14 5.12 拒绝服务.15 5.12.1 拒绝服务.15 5.12.2 PHP Web 表单哈希冲突拒绝服务.15 5.13 缓冲区溢出.15 5.14 隐藏字段可操纵.15 YD/T 13912018 IV 5.15 远程命令执行.15 5.15.1 远程代码执行.15 5.15.2 Apache Tomcat 远程执行漏洞.15 5.15.3 PHP 远程代码执行.16 5.15.4 Java 反序列化过程远程命令执行.16 5.15.5 Apache St

7、ruts2 远程代码执行.16 5.15.6 GNU Bash 环境变量远程命令执行.16 5.15.7 Http.sys 远程代码执行.16 5.16 文件包含.17 5.17 弱口令.17 5.18 暴力猜测.17 5.19 认证缺陷.17 5.19.1 未授权访问/认证不充分.17 5.19.2 认证绕过.17 5.19.3 越权操作.17 5.20 口令明文传输.17 5.21 Heartbleed.17 附录 A（XX 性附录）OWASP Category:Vulnerability.19 参考文献.错误错误!未定义书签。未定义书签。YD/T 13912018 V 前言本标准按照

8、GB/T 1.1-2009给出的规则起草。本标准的某些内容可能涉及专利。本标准的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位：中国移动通信集团有限公司、北京神州绿盟科技有限公司、杭州安恒信息技术股份有限公司、国家计算机网络应急技术处理协调中心。本标准主要起草人：付俊、郭智慧、陈福祥、姜一娇、王晖、任兰芳、李江。YD/T 13912018 1 WEB 漏洞漏洞分类与定义指南分类与定义指南 1.范围本标准规定了WEB漏洞分类与定义，具体包括WEB漏洞的统一命名、编号和定义，以及详细分类和定义标准等。WEB漏洞主要指WEB应用程序编码漏洞，以及WEB容器和

9、组件等不安全的配置产生的漏洞。本标准适用于 WEB安全相关产品漏洞的统一描述，也可作为WEB站点安全测试结果规范化描述的参考。2.规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 30279-2013 信息安全技术安全漏洞等级划分指南 GB/T 28458-2012 信息安全技术安全漏洞标识与描述规范 GB/T 33561-2017 信息安全技术安全漏洞分类 3.术语、定义和缩略语 3.1.术语和定义下列术语和定义适用于本文件。3.1.13.1.1 SQ

10、LSQL注入注入 SQL injectionSQL injection 通过构造特定的输入字符串实现对Web应用系统后台数据库的非法操作。3.1.23.1.2 CookieCookie注入注入 cookie injectioncookie injection 通过构造特定的Cookie值实现对Web应用系统后台数据库的非法操作。3.1.33.1.3 跨站攻击跨站攻击 crosscross site scriptingsite scripting 将恶意脚本隐藏在用户提交的数据中,实现篡改服务器正常的响应页面。3.1.43.1.4 跨站请求伪造跨站请求伪造 cross site request

11、forgerycross site request forgery 通过伪装来自受信任用户的请求来利用受信任的Web系统来完成一定的操作。YD/T 13912018 2 3.1.53.1.5 文件包含文件包含 file inclusionfile inclusion 一种通过Web应用脚本特性(函数)去包含任意文件时,由于要包含的这个文件来源过滤不严,从而可以去包含一个恶意文件来达到非法操作。3.1.63.1.6 命令执行命令执行 command executioncommand execution 由于服务器端没有针对执行函数做过滤,导致客户端可以提交恶意构造语句提交来执行系统命令的非法

12、操作。3.1.73.1.7 LDAPLDAP 注入注入 L LDAP iDAP injectionnjection 通过用户提供的输入来构造轻量级目录访问控制语句,从而攻击Web应用。3.1.83.1.8 XPathXPath注入注入 XPath iXPath injectionnjection 由用户提供的输入构造XPath查询,从而攻击Web应用。3.2.缩略语下列缩略语适用于本文件。CSRF:跨站请求伪造(Cross Site Request Forgery)HTTP:超文本传输协议(HyperText Transfer Protocol)HTTPS:安全超文本传输协议(Hyperte

13、xt Transfer Protocol over Secure Socket Layer)LDAP:轻量目录访问协议(Lightweight Directory Access Protocol)OWASP:开放式网页应用程序安全项目(Open Web Application Security Project)SQL:结构化查询语言(Structured Query Language)SSL:安全套接层(Secure Sockets Layer)URI：统一资源标识符（Uniform Resource Identifier）URL:统一资源定位符,也称网页地址(Universal Resour

14、ce Locator)WAVD：web应用漏洞库（Web Application Vulnerability Database）WSDL:web服务描述语言(Web Services Description Language)YD/T 13912018 3 4.分类原则与说明本标准对WEB漏洞进行了定义和分类，具体包括WEB漏洞的定义、详细分类危险等级以及验证评价标准。分类和定义参考OWASP定义的63类WEB漏洞（参见附录A），结合目前业界主流扫描器厂商的实际扫描漏洞信息。漏洞等级的划分参考GB/T 30279-2013信息安全技术安全漏洞等级划分指南、GB/T 28458-2012 信息

15、安全技术安全漏洞标识与描述规范和GB/T 33561-2017信息安全技术安全漏洞分类，从访问路径、利用复杂度和影响程度三个方面进行划分，分为高危漏洞、中危漏洞和低危漏洞。其中高危漏洞主要指可远程利用并能直接获取系统权限（服务器端权限、客户端权限）、能够导致远程拒绝服务的漏洞或者远程获取系统账号口令等敏感信息，包括但不仅限于：命令注入、远程命令执行、上传获取WebShell、SQL注入、缓冲区溢出、绕过认证核心业务非授权访问、核心业务后台弱密码等；中危漏洞是指能远程获取配置和身份等敏感信息、本地利用的漏洞，或者策略设置不严导致的暴力破解等风险；包括但不限于客户端明文密码存储、路径遍历等；低危漏

16、洞是指能够轻微信息泄露的安全漏洞，包括服务器版本泄露、路径信息泄露、SVN信息泄露、phpinfo信息泄露等。目前业界WEB漏洞扫描和WAF等WEB领域安全产品对WEB漏洞的认定存在差异，包括命名、数量和位置等，验证评价标准主要描述了对同一个漏洞的认定方式。5.漏洞分类与定义 5.1.注入类 5.1.1 SQL 注入通过把SQL命令插入到Web表单提交、输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。按照构造和提交SQL语句的方式进行划分，SQL注入又分为GET型注入、POST型注入和Cookies型注入。5.1.1.1 GET 型 SQL 注入漏洞名称漏洞名称 G

17、ET 型 SQL 注入编号编号 WAVDWAVD-0101-001001 危害级别危害级别高描述描述提交数据的方式为 GET,注入点的位置在 GET 参数部分，通常发生在网页的 URL。YD/T 13912018 4 5.1.1.2 POST 型 SQL 注入漏洞漏洞名称名称 POST 型 SQL 注入编号编号 WAVDWAVD-0101-00002 2 危害级别危害级别高描述描述使用 POST 方式提交数据，注入点位置在 POST 数据部分，通常发生在表单输入框中。5.1.1.3 Cookie 型 SQL 注入漏洞名称漏洞名称 Cookie 型 SQL 注入编号编号 W

18、AVDWAVD-0101-00003 3 危害级别危害级别高描述描述 HTTP 请求时通常有客户端的 Cookie,注入点存在 Cookie 的某个字段中。5.1.2 XPath 注入 XPath注入攻击是指利用XPath 解析器的松散输入和容错特性，能够在URL、表单或其它信息上附带恶意的XPath 查询代码，以获得权限信息的访问权并更改这些信息。通过该攻击，攻击者可以控制用来进行XPath查询的XML数据库。这种攻击可以有效地对付使用XPath查询（和XML数据库）来执行身份验证、查找或者其它操作。漏洞名称漏洞名称 Xpath 注入编号编号 WAVDWAVD-0101-00004 4

19、危害级别危害级别高描述描述用户注入的特殊字符引发的 Xpath 语法错误，数据库服务器接收格式不正确的 Xpath 查询并向 web 服务器返回错误信息，web 服务器将错误信息展示给用户。5.1.3 LDAP 注入轻量级目录访问协议（LDAP）是用来查询及操作目录服务数据的应用层协议。LDAP 协议通过TCP传输协议来运行。Web应用程序可以通过用户提供的输入来创建动态LDAP 语句。漏洞名称漏洞名称 LDAP注入编号编号 WAVDWAVD-0101-00005 5 危害级别危害级别高描述描述如果 Web 应用程序没有对用户提供的输入适当过滤和检查时，攻击者便有可能修改LD

20、AP 语句的结构，并且以（例如：数据库服务器、Web 应用程序服务器、Web 服务器）的权限执行任意命令。这有可能造成很严重的安全问题，许可权可能会允许查询、修改或除去 LDAP 树状构造内任何数据。5.1.4 CRLF 注入漏洞名称漏洞名称 CRLF 注入编号编号 WAVDWAVD-0101-00006 6 危害级别危害级别中 YD/T 13912018 5 描述描述 HTTP 头使用回车换行作为不同关键字的分隔符，如果 web 应用程序没有充分过滤用户输入的信息，而是直接将用户输入信息保存在 HTTP 响应头返回给客户端。就有可能将回车换行符嵌入到 HTTP 响应头中，从而导致改变

21、HTTP 头，影响客户端浏览器对 HTTP 响应数据的处理。如修改 Content-Length 字段，改变页面内容。5.1.5 服务器端包含注入漏洞名称漏洞名称 (SSI)服务器端包含注入编号编号 WAVDWAVD-0101-00007 7 危害级别危害级别高描述描述 SSI（Server Side Includes）攻击允许通过在 HTML 页面注入脚本或远程执行任意代码。可以通过操控 SSI 的使用或在 user 输入域中使用。5.1.6 XML 外部实体注入漏洞名称漏洞名称 XML 外部实体注入编号编号 WAVDWAVD-0101-00008 8 危害级别危害级别低描述

22、描述 XXE Injection 即 XML External Entity Injection,也就是 XML 外部实体注入攻击。漏洞是在对非安全的外部实体数据进行处理时引发的安全问题。XML 外部实体可以用来添加或修改与 XML 文档相关联的文档类型定义（DTD）。XML 外部实体也可以被用于包括 XML 文档内容中的 XML。现在,假设 XML 处理器解析来自攻击者控制下的一个数据。在大多数情况下，处理器不会验证，但它可能包括替换文本因此发起一个意想不到的文件打开操作,或 HTTP 传输,或 XML 处理器知道如何访问的系统 ids。5.1.7 系统命令注入漏洞名称漏洞名称系统命令注

23、入编号编号 WAVDWAVD-0101-00009 9 危害级别危害级别高描述描述应用程序为了和操作系统交互需要调用系统命令并返回执行结果。如果应用程序接收用户输入而没有做充分过滤便执行系统命令，导致攻击者可以以当前用户权限执行任意系统命令。5.1.8 EL 表达式注入漏洞名称漏洞名称 EL 表达式注入编号编号 WAVDWAVD-0101-0 01010 危害级别危害级别高描述描述 EL（Expression Language）提供了在 JSP 脚本编制元素范围外使用运行时表达式的功能。脚本编制元素是指页面中能够用于在 JSP 文件中嵌入 Java 代码的元素。el 表达式注入

24、漏洞，使得攻击者可以访问 web 应用 application 和 session 等敏感信息，甚至是执行系统命令。5.1.9 框架注入漏洞名称漏洞名称框架注入编号编号 WAVDWAVD-0101-01011 1 危害级别危害级别高 YD/T 13912018 6 描述描述注入含有恶意内容的 frame 或 iframe 标记。5.1.10 链接注入漏洞名称漏洞名称链接注入编号编号 WAVDWAVD-0101-01012 2 危害级别危害级别高描述描述链接注入”是修改站点内容的行为，其方式为将外部站点的 URL 嵌入其中，或将有易受攻击的站点中的脚本的 URL 嵌入其中

25、。将 URL 嵌入易受攻击的站点中，攻击者便能够以它为平台来启动对其他站点的攻击，以及攻击这个易受攻击的站点本身。5.1.11 CSV 注入漏洞名称漏洞名称 CSV 注入编号编号 WAVDWAVD-0101-01013 3 危害级别危害级别高描述描述 CSV 注入又叫公式注入(CSV Injection）。攻击包含向恶意的 EXCEL 公式中注入可以输出或以 CSV 文件读取的参数。当在 Excel 中打开 CSV 文件时，文件会从 CSV 描述转变为原始的 Excel 格式，包括 Excel 提供的所有动态功能。在这个过程中，CSV 中的所有 Excel公式都会执行。当向该函数中植入

26、恶意代码时，很易被滥用并允许恶意代码执行。5.2.XSS 跨站脚本 XSS(Cross Site Scripting)全称跨站脚本，指攻击者在网页中嵌入客户端脚本(例如JavaScript),当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的.比如获取用户的Cookie，导航到恶意网站,携带木马等。XSS又分为反射型、存储型和DOM型。5.2.1.反射型 XSS 漏洞名称漏洞名称反射型 XSS 编号编号 WAVDWAVD-0 02 2-0 00101 危害级别危害级别中描述描述反射型 XSS，也叫“非持久型 XSS”,只是简单地把用户输入的数据“反射”给浏览器。攻击

27、脚本未存储在服务端，客户端每次访问需要携带攻击脚本才能中招。5.2.2.存储型 XSS 漏洞名漏洞名称称存储型 XSS 编号编号 WAVDWAVD-0202-00002 2 危害级别危害级别高描述描述存储型跨站脚本漏洞是指攻击者注入的跨站脚本长期性的存储到服务器，当任何用户访问存在跨站脚本的页面时，都会遭到跨站脚本攻击。YD/T 13912018 7 5.2.3.DOM 型 XSS 漏洞名称漏洞名称 DOM 型 XSS 编号编号 WAVDWAVD-0202-00003 3 危害级别危害级别中描述描述基于 DOM 的跨站脚本漏洞属于跨站漏洞的一种分类。造成跨站的原因是客户端脚本（一

28、般是 javascript）处理用户输入时，没有做充分的过滤，并且将用户的输入赋给 DOM 树中某些对象的属性，比如通过 document.write，window.location 等。这些操作支持执行javascript,造成用户的输入被执行。5.3.信息泄露由于Web服务器或应用程序没有正确处理一些特殊请求，泄露Web服务器的一些敏感信息，如用户名、密码、源代码、服务器信息、配置信息等。5.3.1 phpinfo 信息泄露漏洞名称漏洞名称 phpinfo信息泄露编号编号 WAVDWAVD-0 03 3-001001 危害级别危害级别低描述描述 phpinfo 信息中包含了服务器

29、的配置信息，包括：1）PHP 编译选项以及文件扩展名的相关信息；2）php 的版本信息 3）php 的配置信息；4）数据库信息等敏感信息。这些敏感信息会帮助攻击者展开进一步的攻击。5.3.2 SVN源码信息泄露漏洞名称漏洞名称 SVN源码信息泄露编号编号 WAVDWAVD-0303-00002 2 危害级别危害级别低描述描述 svn 创建的文件或者目录包含被管理文件的历史信息，如 svn 库的路径，有权限修改文件或者目录的用户，修改历史，源代码等敏感信息。5.3.3 IIS短文件名泄露漏洞名称漏洞名称 IIS短文件名泄露编号编号 WAVDWAVD-0303-00003 3 危害级别

30、危害级别中描述描述 Microsoft IIS 在实现上存在文件枚举漏洞，攻击者可利用“”字符猜解或遍历服务器中的文件名。5.3.4 CVS相关文件泄露漏洞名称漏洞名称 CVS相关文件泄露编号编号 WAVDWAVD-0303-00004 4 危害级别危害级别低描述描述 cvs 创建的文件或者目录包含文件的历史信息，cvs 库的路径，编译文件或者目录的用户等敏感信息。5.3.5 robots.txt泄露漏洞名称漏洞名称 robots.txt泄露编号编号 WAVDWAVD-0303-00005 5 危害级别危害级别低 YD/T 13912018 8 描述描述 robots 文件位

31、于网站根目录下，用于标识网站的某些资源是否允许爬虫工具访问。用 Allow表示爬虫工具可访问的资源，用 Disallow 表示爬虫工具不应该访问的资源。通过该文件，攻击者可以更容易的清楚目标网站目录结构，为展开其他攻击提供便利。5.3.6 源码泄露漏洞名称漏洞名称源码泄露(asp、jsp、php、python)编号编号 WAVDWAVD-0303-00006 6 危害级别危害级别低描述描述在返回页面中检测到包含 asp/jsp/python 的源码。5.3.7 物理路径信息泄露漏洞名称漏洞名称物理路径信息泄露编号编号 WAVDWAVD-0303-00007 7 危害级别危害级别

32、中描述描述服务器的响应内容中可能存在系统目录路径信息，如/home,/var 或者 c:等信息，如果攻击者获取到这些信息，可以了解目标服务器目录结构，给攻击者带来便利，如上传文件到服务器的其他目录。5.3.8 Flash文件源代码泄露漏洞名称漏洞名称 Flash 文件源代码泄露编号编号 WAVDWAVD-0303-00008 8 危害级别危害级别低描述描述 web 目录存放有 Flex 应用程序，开发者创建 Flex 应用程序时，开发者可将 Flex 项目和源代码一起导出。访问者可以通过访问特定的目录名称以浏览 Flash 文件代码。5.3.9 html注释敏感信息泄露漏洞名称

33、漏洞名称 html 注释敏感信息泄露编号编号 WAVDWAVD-0303-00009 9 危害级别危害级别低描述描述 Web 应用程序的程序员使用了 HTML 注释，以在需要时帮助其调试应用程序。尽管添加常规注释有助于调试应用程序，但一些程序员往往会遗留重要数据，例如：1、与 Web 应用程序相关的文件名 2、旧的链接或原非供用户浏览的链接 3、旧的代码片段等从而导致 Web 应用程序的敏感信息泄露，例如：用户名、密码、敏感文件等 5.3.10 IIS location 信息泄露漏洞名称漏洞名称 IIS location 信息泄露编号编号 WAVDWAVD-0303-0 01010

34、危害级别危害级别低描述描述由于 IIS 配置不当，当访问 IIS 网站上的静态文件时，IIS 会在响应头中的 location 包含服务器的 iP 地址。导致隐藏在 NAT 防火墙或者代理服务器后面的内部 IP 地址信息的泄露。YD/T 13912018 9 5.3.11 连接数据库文件泄露漏洞名称漏洞名称连接数据库文件泄露编号编号 WAVDWAVD-0303-0 01111 危害级别危害级别中描述描述 Web 应用程序中，开发人员一般都将连接数据库的配置存储在特定的文件中。这些特定文件通常被命名为：config.php、config.inc.php、conn.php 等。攻

35、击者通过读取这些文件，可以获取到目标站点所使用数据库的相关信息，从而便于进一步攻击目标站点。5.3.12 电话号码信息泄露漏洞名称漏洞名称电话号码信息泄露编号编号 WAVDWAVD-0303-01012 2 危害级别危害级别低描述描述 web 应用程序响应中含有电话号码，可能被用于社会工程学攻击。该电话号码为非网站所有者主观用于公开的电话，如公开的投诉、举报、客服和号码销售等电话。5.3.13 电子邮件信息泄露漏洞名称漏洞名称电子邮件信息泄露编号编号 WAVDWAVD-0303-01013 3 危害级别危害级别低描述描述 web 应用程序响应中含有一或多个电子邮件地址，可供

36、利用以发送垃圾邮件。而且，找到的电子邮件地址也可能是专用电子邮件地址，对于一般大众应是不可访问的。5.3.14 内部IP地址泄露漏洞名称漏洞名称内部IP地址泄露编号编号 WAVDWAVD-0303-01014 4 危害级别危害级别低描述描述 web 应用程序响应中含有内部 IP。泄露内部 IP 非常有价值，因为它显示了内部网络的 IP 地址方案。知道内部网络的 IP 地址方案，可以辅助攻击者策划出对内部网络进一步的攻击。5.3.15 git信息泄露漏洞名称漏洞名称 git信息泄露编号编号 WAVDWAVD-0303-01015 5 危害级别危害级别低描述描述 Git 创建的文

37、件或者目录包含在 www 服务可访问的路径，可造成网站源码等敏感内容泄漏。5.3.16 日志信息泄露漏洞名称漏洞名称日志信息泄露编号编号 WAVDWAVD-0303-01016 6 危害级别危害级别低描述描述检测到目标 web 服务器存在日志文件并且可访问。日志文件中可能包含有敏感信息。5.3.17 备份文件泄露漏洞名称漏洞名称备份文件泄露编编号号 WAVDWAVD-0303-01017 7 危害级别危害级别低 YD/T 13912018 10 描述描述.bak 等格式无法被 WEB 服务器解析的备份文件中可能包含有敏感信息。如果攻击者可以访问该文件，就有可能获取到敏感信息

38、。5.3.18 测试用例文件泄露漏洞名称漏洞名称测试用例文件泄露编号编号 WAVDWAVD-0303-01018 8 危害级别危害级别低描述描述测试用例文件通常是由开发人员或者网站管理员用于测试 web 应用程序的某个功能时留在服务器上的。这些文件可能包含有敏感信息，包括已验证的会话 ID，用户名/密码等。如果攻击者获取到这些敏感信息，攻击者可以进一步获取其他敏感数据。一般形如test.asp/jsp/apsx 等格式的文件，不与属于网站正式对外发布的文件属于测试文件。5.3.19 数据库服务敏感信息泄露漏洞名称漏洞名称数据库服务敏感信息泄露编号编号 WAVDWAVD-030

39、3-01019 9 危害级别危害级别低描述描述检测到服务器返回的页面信息中包含数据库错误信息。通过数据库错误信息可以得知后台数据库类型，甚至数据库结构。为进一步 SQL 注入攻击提供有利信息。5.3.20 文本信息泄露漏洞名称漏洞名称文本信息泄露编号编号 WAVDWAVD-0303-0 02020 危害级别危害级别低描述描述特定应用程序可能以直接明确的 txt 文本信息，可能包含注册信息和订单信息等 5.3.21 配置文件泄露漏洞名称漏洞名称配置文件泄露编号编号 WAVDWAVD-0303-02021 1 危害级别危害级别中描述描述 Web.xml 和 weblog

40、ic.xml 等配置文件，包括了 web 服务器中部署的应用的各种敏感信息，如果可以直接访问，就会为攻击者的进一步攻击提供便利。5.3.22 错误页面web应用服务器版本信息泄露漏洞名称漏洞名称错误页面web应用服务器版本信息泄露编号编号 WAVDWAVD-0303-02022 2 危害级别危害级别低描述描述 Web 服务器未能正确处理异常请求导致 Web 服务器版本信息泄露，攻击者收集到服务器信息后可进行进一步针对性攻击。5.3.23 Apache HTTP Server httpOnly Cookie信息泄露漏洞漏洞名称漏洞名称 Apache HTTP Server httpO

41、nly Cookie编号编号 WAVDWAVD-0303-02023 3 危害级别危害级别低 YD/T 13912018 11 信息泄露描述描述 Apache HTTP Server 在对状态代码 400 的默认错误响应的实现上存在 Cookie 信息泄露漏洞，成功利用后可允许攻击者获取敏感信息。5.3.24.htaccess文件泄露漏洞名称漏洞名称 htaccess文件泄露编号编号 WAVDWAVD-0303-02024 4 危害级别危害级别低描述描述.htaccess 包含了当前目录访问控制的详细信息，通常不允许直接查看。5.3.25 网站地图文件泄露漏洞名称漏洞名称网站地

42、图文件泄露编号编号 WAVDWAVD-0303-02025 5 危害级别危害级别低描述描述攻击者通过网站地图文件可以获取到目标网站的部分文件名称、目录名称等网站相关信息，尤其是可以获取到一些无法通过直接爬行来获取的链接，从而了解目标网站结构，进行下一步攻击。5.3.26 测试目录泄露漏洞名称漏洞名称测试目录泄露编号编号 WAVDWAVD-0303-02026 6 危害级别危害级别低描述描述 web 应用程序在开发过程中，程序员为了测试代码功能，在 web 目录下新建测试目录，存放测试代码，可能包含敏感信息。攻击者读取上述信息，以便进一步攻击目标站点。5.3.27 网站管理后台

43、泄露漏洞名称漏洞名称网站管理后台泄露编号编号 WAVDWAVD-0303-02027 7 危害级别危害级别中描述描述站点信息的更新通常通过后台管理来实现的，web 应用程序开发者或者站点维护者可能使用常用的后台地址名称来管理，比如 admin、manager 等。攻击者可能通过使用上述常用的地址尝试访问目标站点，获取站点的后台管理地址。5.3.28 web应用默认目录泄露漏洞名称漏洞名称 Web应用默认目录泄露编号编号 WAVDWAVD-0303-02028 8 危害级别危害级别低描述描述 web 应用架构中的目录都采用常见的目录名。如图片目录 images,javascr

44、ipt 目录 js,不同的目录潜在的危险是不同的。攻击者一般利用常见目录中可能包含的敏感文件获取敏感信息。5.4 服务配置缺陷 5.4.1 服务器启用了TRACE方法漏洞名称漏洞名称检测到目标服务器编号 WAVDWAVD-0 04 4-0 00101 危害级别中 YD/T 13912018 12 启用了TRACE方法描述描述 TRACE 方法是 HTTP（超文本传输）协议定义的一种协议调试方法，该方法使得服务器原样返回任何客户端请求的内容。5.4.2 WebDAV 远程代码执行漏洞名称漏洞名称 WebDAV 远程代码执行编号编号 WAVDWAVD-0404-00002 2 危害级别

45、危害级别中描述描述如果目标 web 服务器支持 WebDAV 并存在允许 PUT 写目录，攻击者便可以利用 WebDAV的 PUT 方法上传文件到远程的 web 服务器。如果目标服务器支持 WebDAV 的 COPY 或者MOVE 方法，攻击者便可以将上传的文件重命名为 filename.asp;.jpg。进而在目标 web 服务器上执行任意代码。5.4.3 目录列表/索引可查看漏洞名称漏洞名称目录列表/索引可查看编号编号 WAVDWAVD-0404-00003 3 危害级别危害级别中描述描述自动目录列表/索引是 Web 服务器的一个功能，如果请求目录中不存在常规文件(ind

46、ex.html,home.html,default.htm),web 服务器会枚举该目录下所有的文件。通过返回的目录索引信息攻击者可以获得当前目录下的文件列表，从而根据文件中可能存在的漏洞攻击服务器。5.4.4 不安全的HTTP方法漏洞名称漏洞名称不安全的 HTTP 方法编号编号 WAVDWAVD-0404-00004 4 危害级别危害级别中描述描述检测到目标 Web 服务器配置成允许下列其中一个（或多个）HTTP 方法：DELETE,SEARCH,COPY,MOVE,PROPFIND,PROPPATCH,MKCOL,LOCK,UNLOCK.5.4.5 PUT文件上传漏洞名称漏洞

47、名称 PUT 文件上传编号编号 WAVDWAVD-0404-00005 5 危害级别危害级别高描述描述检测到目标服务器存在允许 PUT 文件上传目录。通过 PUT 方法，攻击者可以远程上传文件到该目录，可以在该目录新建文件或者替换已有文件，导致远程代码执行。5.5 cookie安全缺陷 5.5.1 会话cookie中缺少Secure属性漏洞名称漏洞名称会话 cookie 中缺少Secure 属性编号编号 WAVDWAVD-0 05 5-001001 危害级别危害级别低 YD/T 13912018 13 描述描述会话 cookie 中缺少 Secure 属性会导致攻击者可以通过

48、非 HTTPS 页面窃取到用户的 cookie信息，造成用户 cookie 信息的泄露。5.5.2 会话cookie中缺少HttpOnly属性漏洞名称漏洞名称会话 cookie 中缺少HttpOnly 属性编号编号 WAVDWAVD-0505-00002 2 危害级别危害级别低描述描述会话 cookie 中缺少 HttpOnly 属性会导致攻击者可以通过程序(JS 脚本、Applet 等)获取到用户的 cookie 信息，造成用户 cookie 信息泄露，增加攻击者的跨站脚本攻击威胁。5.5.3 不安全的Session/token传输漏洞名称漏洞名称不安全的 Sessio

49、n/token 传输编号编号 WAVDWAVD-0505-00003 3 危害级别危害级别中描述描述 url 中包含 Session token，即会话令牌。Session token 是敏感信息，如果被储存在 URL 中，通过请求头中的 Referer 字段可能会被记录或泄露。5.5.4 永久性cookie 漏洞名称漏洞名称永久性 cookie 编号编号 WAVDWAVD-0505-00004 4 危害级别危害级别中描述描述发现目标存在永久性 Cookie。这可能使攻击者通过其他方式获得用户的会话凭证，这个时候，例如利用 xss 漏洞获得 Cookie 或者 Session 劫

50、持就很有效了，具体分析应用程序的认证，然后使用某些技巧，甚至可以即使对方退出程序也一样永久性获得对方的身份，在未来很长时间甚至永久的控制账户。5.6 常见数据库文件下载漏洞名称漏洞名称常见数据库文件下载编号编号 WAVDWAVD-0 06 6-00001 1 危害级别危害级别高描述描述 web 应用程序连接 access 数据库的文件一般是 mdb 后缀名的，而这些文件都会被开发人员命名为常用的名称，比如 database.mdb、news.mdb。mdb 文件在 web 目录下，默认是不做为脚本被解析的，攻击者可能下载数据库文件，查看其内容，以便进一步攻击目标站点。5.7 劫持与重

展开阅读全文