Informático y "Segurata": WASC Classification v2

Acaba de salir la versión 2 del diccionario de amenazas web de WASC, una clasificación de los distintos tipos de vulnerabilidades web que podemos encontrar, clasificadas según los ataques que se realizan, y las debilidades que permiten que estos ataques funcionen. La lista ha quedado de la siguiente manera:

Attacks	Weaknesses
Abuse of Functionality	Application Misconfiguration
Brute Force	Directory Indexing
Buffer Overflow	Improper Filesystem Permissions
Content Spoofing	Improper Input Handling
Credential/Session Prediction	Improper Output Handling
Cross-Site Scripting	Information Leakage
Cross-Site Request Forgery	Insecure Indexing
Denial of Service	Insufficient Anti-automation
Fingerprinting	Insufficient Authentication
Format String	Insufficient Authorization
HTTP Response Smuggling	Insufficient Password Recovery
HTTP Response Splitting	Insufficient Process Validation
HTTP Request Smuggling	Insufficient Session Expiration
HTTP Request Splitting	Insufficient Transport Layer Protection
Integer Overflows	Server Misconfiguration
LDAP Injection
Mail Command Injection
Null Byte Injection
OS Commanding
Path Traversal
Predictable Resource Location
Remote File Inclusion (RFI)
Routing Detour
Session Fixation
SOAP Array Abuse
SSI Injection
SQL Injection
URL Redirector Abuse
XPath Injection
XML Attribute Blowup
XML External Entities
XML Entity Expansion
XML Injection
XQuery Injection

Slds!

Si te gustó esta entrada, quizás quieras suscribirte al blog por RSS...

Informático y "Segurata"

domingo, 3 de enero de 2010

WASC Classification v2

No hay comentarios: