对于初次学习安全知识的人而言,学习安全威胁的分类无疑是非常重要的内容。
OWASP的webgoat项目也对一些安全问题进行了分类,但是其本意还是作为一种安全学习的范例,而不是作为安全问题分类独立存在。
Web Application Security Consortium(WASC),是一个由安全专家、行业顾问和诸多组织的代表组成的国际团体。他们负责为 WWW 制定被广为接受的应用安全标准。WASC 组织的关键项目之一是“Web 安全威胁分类”,英文Threat Classification”,也就是将 Web 应用所受到的威胁、攻击进行说明并归纳成具有共同特征的分类。该项目的目的是针对 Web 应用的安全隐患,制定和推广行业标准术语。WASC Threat Classification已经发行到2.0版本,比1.0多了不少内容,具体的文档可以从http://www.webappsec.org/这个网站查找到。(有的页面需要翻墙)。
从官网上抄下来这些名称。
Attacks
Weaknesses
Abuse of Functionality
Application Misconfiguration
Brute Force
Directory Indexing
Buffer Overflow
Improper Filesystem Permissions
Content Spoofing
Improper Input Handling
Credential/Session Prediction
Improper Output Handling
Cross-Site Scripting
Information Leakage
Cross-Site Request Forgery
Insecure Indexing
Denial of Service
Insufficient Anti-automation
Fingerprinting
Insufficient Authentication
Format String
Insufficient Authorization
HTTP Response Smuggling
Insufficient Password Recovery
HTTP Response Splitting
Insufficient Process Validation
HTTP Request Smuggling
Insufficient Session Expiration
HTTP Request Splitting
Insufficient Transport Layer Protection
Integer Overflows
Server Misconfiguration
LDAP Injection
Mail Command Injection
Null Byte Injection
OS Commanding
Path Traversal
Predictable Resource Location
Remote File Inclusion (RFI)
Routing Detour
Session Fixation
SOAP Array Abuse
SSI Injection
SQL Injection
URL Redirector Abuse
XPath Injection
XML Attribute Blowup
XML External Entities
XML Entity Expansion
XML Injection
XQuery Injection