Clasificación de amenazas (WASC v2)
El Web Application Security Consortium sigue trabajando en la clasificación de amenazas en su versión 2. Este proyecto es un intento de clarificar y organizar los distintos riesgos que afectan a la seguridad web. Tiene por objetivo el generar un estándar en la terminología que utilizan tanto desarrolladores de aplicaciones, profesionales de seguridad y vendedores de software, para describir todos los posibles riesgos a los que se somete una aplicación web, así como de proveer una descripción para cada uno de ellos.
Gracias a estándares de este tipo sería más sencillo abordar otros proyectos como el OWASP Top10, sin que acabe siendo un proyecto un tanto chapucero. Aunque la clasificación se somete a varios problemas ya que este documento publicó su primera versión en el año 2005 y no ha sido hasta el año 2009 que se está llevando a cabo su revisión. Además, no ha conseguido que el mercado lo acepte y recoja como ha ocurrido con otras iniciativas, actualmente cada uno sigue utilizando sus propias clasificaciones, como CWE de la National Cyber Security Division o la que pueda utilizar SecurityFocus en sus BID.
La lista de ataques final quedará de la siguiente forma:
Gracias a estándares de este tipo sería más sencillo abordar otros proyectos como el OWASP Top10, sin que acabe siendo un proyecto un tanto chapucero. Aunque la clasificación se somete a varios problemas ya que este documento publicó su primera versión en el año 2005 y no ha sido hasta el año 2009 que se está llevando a cabo su revisión. Además, no ha conseguido que el mercado lo acepte y recoja como ha ocurrido con otras iniciativas, actualmente cada uno sigue utilizando sus propias clasificaciones, como CWE de la National Cyber Security Division o la que pueda utilizar SecurityFocus en sus BID.
La lista de ataques final quedará de la siguiente forma:
- Abuse of Functionality
- Brute Force
- Buffer Overflow
- Content Spoofing
- Credential/Session Prediction
- Cross-Site Scripting
- Cross-Site Request Forgery
- Denial of Service
- Fingerprinting
- Format String
- HTTP Request Splitting
- HTTP Response Splitting
- HTTP Request Smuggling
- HTTP Response Smuggling
- Integer Overflow
- LDAP Injection
- Mail Command Injection
- Null Byte Injection
- OS Commanding
- Path Traversal
- Predictable Resource Location
- Remote File Inclusion (RFI)
- Routing Detour
- SOAP Array Abuse
- SSI Injection
- Session Fixation
- SQL Injection
- URL Redirector Abuse
- XPath Injection
- XML Attribute Blowup
- XML External Entities
- XML Entity Expansion
- XML Injection
- XQuery Injection
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!