Меню
Назад » »

Классы атак

Классы атак

 

Современная классификация имеет иерархическую структуру. Классы атак разбиты по пунктам (1; 2 и т. д.) с соответствующими подпунктами (1); 2) и т. д.).

 Название класса атаки представлено как в русском варианте, так и в английском.

1. Аутентификация (Authentication):

1) подбор (Brute Force);

2) недостаточная аутентификация (Insufficient Authentication);

3) небезопасное восстановление паролей (Weak Password Recovery Validation).

2. Авторизация (Authorization):

1) предсказуемое значение идентификатора сессии (Credential/Session Prediction);

2) недостаточная авторизация (Insufficient Authorization);

3) отсутствие тайм‑аута сессии (Insufficient Session Expiration);

4) фиксация сессии (Session Fixation).

3. Атаки на клиентов (Client‑side Attacks):

1) подмена содержимого (Content Spoofing);

2) межсайтовое выполнение сценариев (Cross‑site Scripting, XSS);

3) расщепление HTTP‑запроса (HTTP Response Splitting).

4. Выполнение кода (Command Execution):

1) переполнение буфера (Buffer Overflow);

2) атака на функции форматирования строк (Format String Attack);

3) внедрение операторов LDAP (LDAP Injection);

4) выполнение команд операционной системы (OS Commanding);

5) внедрение операторов SQL (SQL Injection);

6) внедрение серверных расширений (SSI Injection);

7) внедрение операторов XPath (XPath Injection).

5. Разглашение информации (Information Disclosure):

1) индексирование директорий (Directory Indexing);

2) идентификация приложений (Web Server/Application Fingerprinting);

3) утечка информации (Information Leakage);

4) обратный путь в директориях (Path Traversal);

5) предсказуемое расположение ресурсов (Predictable Resource Location).

6. Логические атаки (Logical Attacks):

1) злоупотребление функциональными возможностями (Abuse of Functionality);

2) отказ в обслуживании (Denial of Service);

3) недостаточное противодействие автоматизации (Insufficient Anti‑automation);

4) недостаточная проверка процесса (Insufficient Process Validation).

Пункт и подчиненные ему подпункты разбиты на разделы. Класс атаки имеет краткое описание и дополняется соответствующим "живым" примером. Ну что ж, начнем по порядку.

Аутентификация

Классифицируем атаки, направленные на обход или эксплуатацию уязвимостей в механизмах реализации аутентификации веб‑серверов.
Никто не решился оставить свой комментарий.
Будь-те первым, поделитесь мнением с остальными.
avatar