YD T 3955-2021 WEB漏洞分类与定义指南.pdf

上传人：周芸

文档编号：1529620

上传时间：2022-04-12

格式：PDF

页数：27

大小：1.10MB

《YD T 3955-2021 WEB漏洞分类与定义指南.pdf》由会员分享，可在线阅读，更多相关《YD T 3955-2021 WEB漏洞分类与定义指南.pdf（27页珍藏版）》请在麦多课文档分享上搜索。

1、 ICS 33.040 M10 中华人民共和国通信行业标准 WEB 漏洞分类与定义指南 Web vulnerability classification and definition guideline （报批稿） - - 发布 - - 实施 YD YD/T XXXX 202X ICS 33.040 M10 中华人民共和国工业和信息化部发布 YD/T 1391 2018 II 目录目录 . II 前言 . V WEB 漏洞分类与定义指南 . 1 1. 范围 . 1 2. 规范性引用文件 . 1 3. 术语、定义和

2、缩略语 . 1 3.1. 术语和定义 . 1 3.2. 缩略语 . 2 4. 分类原则与说明 . 3 5. 漏洞分类与定义 . 3 5.1. 注入类 . 3 5.1.1 SQL 注入 . 3 5.1.2 XPath 注入 . 4 5.1.3 LDAP 注入 . 4 5.1.4 CRLF 注入 . 4 5.1.5 服务器端包含注入 . 5 5.1.6 XML 外部实体注入 . 5 5.1.7 系统命令注入 . 5 5.1.8 EL 表达式注入 . 5 5.1.9 框架注入 . 5 5.1.10 链接注入 . 6 5.1.11 CSV 注入 . 6 5.2. X

3、SS 跨站脚本 . 6 5.2.1. 反射型 XSS . 6 5.2.2. 存储型 XSS . 6 5.2.3. DOM 型 XSS . 7 5.3. 信息泄露 . 7 5.3.1 phpinfo 信息泄露 . 7 5.3.2 SVN 源码信息泄露 . 7 5.3.3 IIS 短文件名泄露 . 7 5.3.4 CVS 相关文件泄露 . 7 5.3.5 robots.txt 泄露 . 7 5.3.6 源码泄露 . 8 5.3.7 物理路径信息泄露 . 8 5.3.8 Flash 文件源代码泄露 . 8 5.3.9 html 注释敏感信息泄露 . 8

4、 YD/T 1391 2018 III 5.3.10 IIS location 信息泄露 . 8 5.3.11 连接数据库文件泄露 . 9 5.3.12 电话号码信息泄露 . 9 5.3.13 电子邮件信息泄露 . 9 5.3.14 内部 IP 地址泄露 . 9 5.3.15 git 信息泄露 . 9 5.3.16 日志信息泄露 . 9 5.3.17 备份文件泄露 . 9 5.3.18 测试用例文件泄露 . 10 5.3.19 数据库服务敏感信息泄露 . 10 5.3.20 文本信息泄露 . 10 5.3.21 配置文件泄露 . 10 5

5、.3.22 错误页面 web 应用服务器版本信息泄露 . 10 5.3.23 Apache HTTP Server httpOnly Cookie 信息泄露漏洞 . 10 5.3.24 .htaccess 文件泄露 . 11 5.3.25 网站地图文件泄露 . 11 5.3.26 测试目录泄露 . 11 5.3.27 网站管理后台泄露 . 11 5.3.28 web 应用默认目录泄露 . 11 5.4 服务配置缺陷 . 11 5.4.1 服务器启用了 TRACE 方法 . 11 5.4.2 WebDAV 远程代码执行 . 12 5.4.3

6、目录列表/ 索引可查看 . 12 5.4.4 不安全的 HTTP 方法 . 12 5.4.5 PUT 文件上传 . 12 5.5 cookie 安全缺陷 . 12 5.5.1 会话 cookie 中缺少 Secure 属性 . 12 5.5.2 会话 cookie 中缺少 HttpOnly 属性 . 13 5.5.3 不安全的 Session/token 传输 . 13 5.5.4 永久性 cookie . 13 5.6 常见数据库文件下载 . 13 5.7 劫持与重定向 . 13 5.7.1 点击劫持 . 13 5.7.2 未限制的 URL 重定向 .

7、 14 5.7.3 跨站请求伪造 . 14 5.8 任意文件上传 . 14 5.9 任意文件下载 . 14 5.10 任意密码重置 . 14 5.11 信息残留 . 14 5.12 拒绝服务 . 15 5.12.1 拒绝服务 . 15 5.12.2 PHP Web 表单哈希冲突拒绝服务 . 15 5.13 缓冲区溢出 . 15 5.14 隐藏字段可操纵 . 15 YD/T 1391 2018 IV 5.15 远程命令执行 . 15 5.15.1 远程代码执行 . 15 5.15.2 Apache Tomcat 远程执行漏洞 . 15 5.15.

8、3 PHP 远程代码执行 . 16 5.15.4 Java 反序列化过程远程命令执行 . 16 5.15.5 Apache Struts2 远程代码执行 . 16 5.15.6 GNU Bash 环境变量远程命令执行 . 16 5.15.7 Http.sys 远程代码执行 . 16 5.16 文件包含 . 17 5.17 弱口令 . 17 5.18 暴力猜测 . 17 5.19 认证缺陷 . 17 5.19.1 未授权访问/ 认证不充分 . 17 5.19.2 认证绕过 . 17 5.19.3 越权操作 . 17 5.20 口令明文传输

9、 . 17 5.21 Heartbleed . 17 附录 A （XX 性附录） OWASP Category:Vulnerability . 19 参考文献 . 错误!未定义书签。 YD/T 1391 2018 V 前言本标准按照GB/T 1.1-2009 给出的规则起草。本标准的某些内容可能涉及专利。本标准的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位：中国移动通信集团有限公司、北京神州绿盟科技有限公司、杭州安恒信息技术股份有限公

10、司、国家计算机网络应急技术处理协调中心。本标准主要起草人：付俊、郭智慧、陈福祥、姜一娇、王晖、任兰芳、李江。YD/T 1391 2018 1 WEB 漏洞分类与定义指南 1. 范围本标准规定了WEB 漏洞分类与定义，具体包括WEB 漏洞的统一命名、编号和定义，以及详细分类和定义标准等。WEB漏洞主要指WEB 应用程序编码漏洞，以及WEB 容器和组件等不安全的配置产生的漏洞。本标准适用于 WEB 安全相关产品漏洞的统一描述，也可作为WEB 站点安全测试结果规范化

11、描述的参考。 2. 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 30279-2013 信息安全技术安全漏洞等级划分指南 GB/T 28458-2012 信息安全技术安全漏洞标识与描述规范 GB/T 33561-2017 信息安全技术安全漏洞分类 3. 术语、定义和缩略语 3.1. 术语和定义下列术语和定义适用于本文

12、件。 3.1.1 SQL 注入 SQL injection 通过构造特定的输入字符串实现对Web 应用系统后台数据库的非法操作。 3.1.2 Cookie 注入 cookie injection 通过构造特定的Cookie 值实现对Web 应用系统后台数据库的非法操作。 3.1.3 跨站攻击 cross site scripting 将恶意脚本隐藏在用户提交的数据中,实现篡改服务器正常的响应页面。 3.1.4 跨站请求伪造 cross site request forgery 通过伪装来自受信任用户的请求来利

13、用受信任的Web 系统来完成一定的操作。 YD/T 1391 2018 2 3.1.5 文件包含 file inclusion 一种通过Web 应用脚本特性(函数) 去包含任意文件时, 由于要包含的这个文件来源过滤不严,从而可以去包含一个恶意文件来达到非法操作。 3.1.6 命令执行 command execution 由于服务器端没有针对执行函数做过滤, 导致客户端可以提交恶意构造语句提交来执行系统命令的非法操作。 3.1.7 LDAP 注入 LDAP injection 通过用

14、户提供的输入来构造轻量级目录访问控制语句,从而攻击Web 应用。 3.1.8 XPath 注入 XPath injection 由用户提供的输入构造XPath 查询,从而攻击Web 应用。 3.2. 缩略语下列缩略语适用于本文件。 CSRF: 跨站请求伪造(Cross Site Request Forgery) HTTP: 超文本传输协议(HyperText Transfer Protocol) HTTPS: 安全超文本传输协议(Hypertext Transfer Protocol over Secure Socket La

15、yer) LDAP: 轻量目录访问协议(Lightweight Directory Access Protocol) OWASP: 开放式网页应用程序安全项目(Open Web Application Security Project) SQL: 结构化查询语言(Structured Query Language) SSL: 安全套接层(Secure Sockets Layer) URI ：统一资源标识符（Uniform Resource Identifier ） URL: 统一资源定位符,也称网页地址(Universal Resource Lo

16、cator) WAVD ：web 应用漏洞库（Web Application Vulnerability Database ） WSDL:web 服务描述语言(Web Services Description Language) YD/T 1391 2018 3 4. 分类原则与说明本标准对WEB漏洞进行了定义和分类，具体包括WEB 漏洞的定义、详细分类危险等级以及验证评价标准。分类和定义参考OWASP定义的63类WEB 漏洞（参见附录A），结合目前业界主流扫描器厂商的实际扫描漏洞信息。漏洞等级的

17、划分参考GB/T 30279-2013 信息安全技术安全漏洞等级划分指南、GB/T 28458-2012 信息安全技术安全漏洞标识与描述规范和GB/T 33561-2017 信息安全技术安全漏洞分类，从访问路径、利用复杂度和影响程度三个方面进行划分，分为高危漏洞、中危漏洞和低危漏洞。其中高危漏洞主要指可远程利用并能直接获取系统权限（服务器端权限、客户端权限）、能够导致远程拒绝服务的漏洞或者远程获取系统账号口令等敏感信息，包括但不仅

18、限于：命令注入、远程命令执行、上传获取WebShell 、SQL 注入、缓冲区溢出、绕过认证核心业务非授权访问、核心业务后台弱密码等；中危漏洞是指能远程获取配置和身份等敏感信息、本地利用的漏洞，或者策略设置不严导致的暴力破解等风险；包括但不限于客户端明文密码存储、路径遍历等；低危漏洞是指能够轻微信息泄露的安全漏洞，包括服务器版本泄露、路径信息泄露、SVN 信息泄露、phpinfo 信息泄露等。目前业界WEB 漏洞扫

19、描和WAF 等WEB 领域安全产品对WEB 漏洞的认定存在差异，包括命名、数量和位置等，验证评价标准主要描述了对同一个漏洞的认定方式。 5. 漏洞分类与定义 5.1. 注入类 5.1.1 SQL 注入通过把SQL 命令插入到Web 表单提交、输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL 命令。按照构造和提交SQL 语句的方式进行划分，SQL 注入又分为GET 型注入、POST 型注入和Cookies 型注入。 5.1.1.1 GET 型 SQL

20、注入漏洞名称 GET 型 SQL 注入编号 WAVD-01-001 危害级别高描述提交数据的方式为GET , 注入点的位置在 GET 参数部分，通常发生在网页的URL。 YD/T 1391 2018 4 5.1.1.2 POST 型 SQL 注入漏洞名称 POST 型 SQL 注入编号 WAVD-01-002 危害级别高描述使用 POST 方式提交数据，注入点位置在 POST 数据部分，通常发生在表单输入框中。 5.1.1.3 Cookie 型 SQL 注入漏洞名称 Cookie 型 SQL 注入编号 WAVD-01

21、-003 危害级别高描述 HTTP 请求时通常有客户端的 Cookie, 注入点存在 Cookie 的某个字段中。 5.1.2 XPath 注入 XPath 注入攻击是指利用XPath 解析器的松散输入和容错特性，能够在URL 、表单或其它信息上附带恶意的XPath 查询代码，以获得权限信息的访问权并更改这些信息。通过该攻击，攻击者可以控制用来进行XPath 查询的XML 数据库。这种攻击可以有效地对付使用XPath 查询（和XML 数据库）来执行身份验证、查

22、找或者其它操作。漏洞名称 Xpath 注入编号 WAVD-01-004 危害级别高描述用户注入的特殊字符引发的 Xpath 语法错误，数据库服务器接收格式不正确的 Xpath 查询并向 web 服务器返回错误信息，web 服务器将错误信息展示给用户。 5.1.3 LDAP 注入轻量级目录访问协议（LDAP ）是用来查询及操作目录服务数据的应用层协议。LDAP 协议通过TCP 传输协议来运行。Web 应用程序可以通过用户提供的输入来创建动态LDAP 语句。漏洞名称

23、LDAP注入编号 WAVD-01-005 危害级别高描述如果 Web 应用程序没有对用户提供的输入适当过滤和检查时，攻击者便有可能修改 LDAP 语句的结构，并且以（例如：数据库服务器、Web 应用程序服务器、Web 服务器）的权限执行任意命令。这有可能造成很严重的安全问题，许可权可能会允许查询、修改或除去 LDAP 树状构造内任何数据。 5.1.4 CRLF 注入漏洞名称 CRLF 注入编号 WAVD-01-006 危害级别中 YD/T

24、1391 2018 5 描述 HTTP 头使用回车换行作为不同关键字的分隔符，如果 web 应用程序没有充分过滤用户输入的信息，而是直接将用户输入信息保存在 HTTP 响应头返回给客户端。就有可能将回车换行符嵌入到 HTTP 响应头中，从而导致改变 HTTP 头，影响客户端浏览器对 HTTP 响应数据的处理。如修改 Content-Length 字段，改变页面内容。 5.1.5 服务器端包含注入漏洞名称 (SSI) 服务器端包含注入编号 WAVD-01-007 危害

25、级别高描述 SSI （Server Side Includes ）攻击允许通过在 HTML 页面注入脚本或远程执行任意代码。可以通过操控 SSI 的使用或在 user 输入域中使用。 5.1.6 XML 外部实体注入漏洞名称 XML 外部实体注入编号 WAVD-01-008 危害级别低描述 XXE Injection 即 XML External Entity Injection, 也就是 XML 外部实体注入攻击。漏洞是在对非安全的外部实体数据进行处理时引发的安全问题。XML 外部实体可以用来添加或

26、修改与 XML 文档相关联的文档类型定义（DTD）。 XML 外部实体也可以被用于包括 XML 文档内容中的 XML 。现在, 假设 XML 处理器解析来自攻击者控制下的一个数据。在大多数情况下，处理器不会验证，但它可能包括替换文本因此发起一个意想不到的文件打开操作, 或 HTTP 传输, 或 XML 处理器知道如何访问的系统 ids 。 5.1.7 系统命令注入漏洞名称系统命令注入编号 WAVD-01-009 危害级别高描述应用程序为了和操作系

27、统交互需要调用系统命令并返回执行结果。如果应用程序接收用户输入而没有做充分过滤便执行系统命令，导致攻击者可以以当前用户权限执行任意系统命令。 5.1.8 EL 表达式注入漏洞名称 EL 表达式注入编号 WAVD-01-010 危害级别高描述 EL （Expression Language ）提供了在 JSP 脚本编制元素范围外使用运行时表达式的功能。脚本编制元素是指页面中能够用于在 JSP 文件中嵌入 Java 代码的元素。 el 表达式注入漏洞，使得攻

28、击者可以访问 web 应用 application 和 session 等敏感信息，甚至是执行系统命令。 5.1.9 框架注入漏洞名称框架注入编号 WAVD-01-011 危害级别高 YD/T 1391 2018 6 描述注入含有恶意内容的 frame 或 iframe 标记。 5.1.10 链接注入漏洞名称链接注入编号 WAVD-01-012 危害级别高描述链接注入” 是修改站点内容的行为，其方式为将外部站点的 URL 嵌入其中，或将有易受攻击的站点中的脚本的 URL 嵌入其中。将 URL

29、嵌入易受攻击的站点中，攻击者便能够以它为平台来启动对其他站点的攻击，以及攻击这个易受攻击的站点本身。 5.1.11 CSV 注入漏洞名称 CSV 注入编号 WAVD-01-013 危害级别高描述 CSV 注入又叫公式注入(CSV Injection ）。攻击包含向恶意的 EXCEL 公式中注入可以输出或以 CSV 文件读取的参数。当在 Excel 中打开 CSV 文件时，文件会从 CSV 描述转变为原始的 Excel 格式，包括 Excel 提供的所有动态功能。在这个过程中，CSV 中的所有 Excel 公式都会执行。当向该函数中植入恶意代码时，很易被滥用并允许恶意代码执行。

下载提示：本站仅提供存储空间/不修改/不编辑