Классификация атак по видам направленности нарушений:
- Аутентификация
- Авторизация
- Атаки на стороне клиента
- Выполнение команд
- Информационное раскрытие
- Логические атаки
Аутентификация
Раздел аутентификации объединяет атаки, целью которых является метод проверки идентификации пользователя, сервиса или приложения веб-сайта. Аутентификация выполняется как минимум одним из трех способов: «что-то вы имеете», «что-то вы знаете», «кем-то вы являетесь». В этом разделе описываются нападения направленные для обмана или попыток обойти процесс аутентификации на сайте.
-
Brute Force (Грубая сила)
- Brute Force является автоматизированным процессом проб и ошибок для подбора логинов, паролей, номеров кредитных карт или криптографических ключей.
-
Insufficient Authentication (Неполное ограничение полномочий)
- Insufficient Authentication происходит, когда веб-сайт предоставляет злоумышленнику доступ к закрытым данным или функциональности, без соответствующей авторизации.
-
Weak Password Recovery Validation (Слабая процедура восстановления пароля)
- Weak Password Recovery Validation происходит, когда веб-сайт позволяет злоумышленнику незаконно получить, изменить или восстановить пароль другого пользователя.
Авторизация
Раздел авторизация объединяет атаки, целью которых является метод определения имеет ли пользователь, сервис или приложение необходимые полномочия для выполнения запрашиваемого действия. Например, на большинстве сайтов только ограниченный круг пользователей имеют доступ к определенным данным или функциональности. При этом доступ других пользователей к этим ресурсам должен быть ограничен. Используя различные технологии, злоумышленник может обмануть веб-сайт, чтобы увеличить уровень его привилегий в защищенной области.
-
Credential/Session Prediction (Прогнозирование Сертификата/Сессии)
- Credential/Session Prediction является методом обмана или подражания пользователю веб-сайта..
-
Insufficient Authorization (Неполное ограничение доступа)
- Insufficient Authorization, происходит, когда веб-сайт разрешает доступ к важному содержанию или функциональности, к которым требуется ограничение доступа.
-
Insufficient Session Expiration (Незавершение сессии)
- Insufficient Session Expiration, возникает когда веб-сайт позволяет нарушителю повторно использовать старые сертификаты или идентификаторы сессий для авторизации.
-
Session Fixation (Фиксация сессии)
- Session Fixation является методом нападения, который принудительно устанавливает идентификатор сессии в определенное значение.
Атаки на стороне клиента
Раздел атак на стороне клиента посвящен злоупотреблениям или использованию пользователей веб-сайта. Когда пользователь посещает веб-сайт, между двумя сторонами устанавливается технологическое и психологическое доверие. Пользователь ожидает, что веб-сайты которые он посещает, предоставляет действительное содержание. Пользователь также ожидает, что веб-сайт в течении пользователя на сайте не атакует его. Благодаря ожиданию таких доверительных отношений, злоумышленник может воспользоваться разными технологиями для использования пользователя.
-
Content Spoofing (Подмена содержания)
- Content Spoofing — метод нападения, используемый, чтобы обмануть уверенность пользователя в том, что определенное содержание представленное на веб-сайте является именно настоящей, а не берется из внешнего источника.
-
Cross-site Scripting или XSS (Межсайтовое выполнение сценариев)
- Cross-site Scripting (XSS,Межсайтовое выполнение сценариев) является методом нападения, который вынуждает веб-сайт повторить выполнимый код злоумышленника, который загружается в браузере пользователя.
Выполнение команд
Раздел Выполнение команд объединяет атаки, направленные для выполнения удаленных команд на веб-сайте. Все веб-сайты используют подготовленные пользователями данные для выполнения запроса. Часто эти подготовленные пользователем данные используются для вызова внутренних команд для формирования содержания на динамических веб-страницы. Если этот процесс делается небезопасно, то злоумышленник может изменить выполняемые команды.
-
Buffer Overflow (Переполнение Буфера)
- Buffer Overflow (переполнение буфера) используется злоумышленниками, чтобы изменить ход выполнения приложения путем переполнения переменных памяти.
-
Format String Attacks (Атаки Форматирования Строк)
- Атаки форматирования строк изменяют ход выполнения приложения, используя возможности библиотеки форматирования строк, чтобы получить доступ к другой области памяти.
-
LDAP Injection (LDAP Инъекция)
- LDAP Инъекция является методом нападения, используемым, чтобы эксплуатировать веб-сайты, которые строят LDAP инструкции, формируя их из потока входных данных от пользователей.
-
OS Commanding (Выполнение команд ОС)
- Выполнение ОС команд — метод нападения, используемый, чтобы эксплуатировать веб-сайты, выполняя команды Операционной Системы через манипуляцию входными данными приложения.
-
SQL Injection (SQL инъекция)
- SQL инъекция — это метод нападения, используемый, чтобы эксплуатировать веб-сайты, формирующие SQL запросы из потока входного данных пользователей.
-
SSI Injection (SSI инъекция)
- SSI инъекция — это метод использования на стороне сервера расширений, позволяющих злоумышленнику послать код в веб-приложение, который позже будет выполнен локально веб-сервером.
-
XPath Injection (XPath инъекция)
- XPath инъекция — метод нападения, используемый, чтобы эксплуатировать веб-сайты, создающие XPath запросы из потока входных данных пользователей.
Информационное раскрытие
Раздел информационного раскрытия описывает атаки направленные на получение специфическую системную информацию о веб-сайте. Специфическая системная информация включает дистрибутив софта, номера версий, уровни патчей. Так же информация может содержать резервных и временных файлов. В большинстве случаев, раскрытие такой информации не требуется для нормальной работы пользователя. Большинство веб-сайтов позволяют выявить определенный объем данных, при этом лучше всего ограничить объем этих данных, когда это возможно. Чем больше дополнительной информации о веб-сайте узнает злоумышленник, тем ему проще систему скомпрометировать.
-
Индекс директории
- Автоматическое формирование списка/индекса является функцией веб-сервера, которая отображает список всех файлов в запрашиваемой директории, если в запросе не указан конкретный файл.
-
Утечка информации
- Утечка информации возникает, когда веб-сайт выводит важные данные, такие как комментарии разработчиков или сообщения об ошибке, которые могут помочь злоумышленнику в использовании системы.
-
Обход пути
- Технология атаки Обход пути напрямую обращается к файлам, каталогам, и командам, которые потенциально расположены за пределами корневой веб-директории (root).
-
Предсказуемое Размещение Ресурсов
- Предсказуемое Размещение Ресурсов — метод нападения, используемый для обнаружения скрытого содержимого и функциональности на веб-сайте.
Логические атаки
Раздел Логические атаки посвящен злоупотреблению или использованию логического потока веб-приложения. Логика приложения предполагает определенный ход выполнения процедур, действующих в определенном порядке, чтобы выполнить основную работу. Восстановление пароля, регистрация новой учетной записи, установка ставки на аукционе и оплата в электронной коммерции — все это примеры логики приложения. Веб-сайт может требовать от пользователя правильного выполнения специфического много-шагового процесса для завершения отдельного действия. Злоумышленник может обмануть или злоупотребить этим для причинения вреда веб-сайту и его пользователям.
-
Abuse of Functionality (Злоупотребление Функциональными возможностями)
- Злоупотребление Функциональными возможностями — метод нападения, который использует особенности веб-сайта и его функциональные возможности, чтобы уничтожить, обмануть, или обойти механизмы управления доступом.
-
Denial of Service (Отказ в обслуживании)
- Отказ в обслуживании (DoS) — метод нападения с целью препятствия нормальной работы пользователей на веб-сайте.
-
Insufficient Anti-automation (Недостаточная анти-автоматизация)
- Недостаточная анти-автоматизация состоит в том, что веб-сайт разрешает злоумышленнику автоматизировать процесс, который должен выполняться исключительно вручную.
-
Insufficient Process Validation (Недостаточный процесс проверки)
- Недостаточный процесс проверки состоит в том, что веб-сайт разрешает злоумышленнику обойти или обмануть намеченный ход выполнения веб-приложения.