文库搜索
切换导航
首页
频道
联系我们
国家标准目录
国际ISO标准目录
行业标准目录
地方标准目录
首页
联系我们
国家标准目录
国际ISO标准目录
行业标准目录
地方标准目录
批量下载
ICS 33.040 M10 YD 中华人民共和国通信行业标准 YD/T XXXX202X WEB漏洞分类与定义指南 Web vulnerability classification and definition guideline (报批稿) 行业标准信息服务平台 XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部发布 YD/T1391—2018 目 目 录 前 言 WEB漏洞分类与定义指南 1. 范围 2. 规范性引用文件 3. 术语、定义和缩略语 3.1. 术语和定义 3.2. 缩略语 4. 分类原则与说明 5. 漏洞分类与定义 5.1. 注入类, 5.1.1 SQL注入 5.1.2 XPath 注入 5.1.3 LDAP 注入 5.1.4 CRLF注入 5.1.5 服务器端包含注入 5.1.6 XML外部实体注入 5.1.7 系统命令注入, 5.1.8 EL表达式注入 5.1.9 框架注入。 5.1.10 链接注入. 5.1.11 CSV注入 5.2. XSS跨站脚本, 5.2.1. 反射型XSS. 5.2.2. 存储型XSS. 5.2.3. DOM型XSS 5.3. 信息泄露 5.3.1 phpinfo信息泄露 5.3.2 SVN源码信息泄露 5.3.3 IIS短文件名泄露 5.3.4 CVS相关文件泄露, 5.3.5 robots.txt泄露 5.3.6 源码泄露.. 5.3.7 物理路径信息泄露. 5.3.8 Flash文件源代码泄露 5.3.9 html注释敏感信息泄露 YD/T 1391—2018 5.3.10 lIslocation信息泄露. 8 5.3.11 连接数据库文件泄露 5.3.12 电话号码信息泄露. 5.3.13 电子邮件信息泄露.. 5.3.14 内部IP地址泄露. 5.3.15 git信息泄露. 5.3.16 日志信息泄露 9 5.3.17 备份文件泄露. 9 5.3.18 测试用例文件泄露 10 5.3.19 数据库服务敏感信息泄露. 10 5.3.20 文本信息泄露. 10 5.3.21 配置文件泄露. 10 5.3.22 错误页面web应用服务器版本信息泄露 10 5.3.23 Apache HTTPServer"httpOnly"Cookie信息泄露漏洞。 10 5.3.24 .htaccess文件泄露. 11 5.3.25 网站地图文件泄露. 11 5.3.26 测试目录泄露. 11 5.3.27 网站管理后台泄露 11 5.3.28 web应用默认目录泄露 11 5.4 服务配置缺陷. 11 5.4.1 服务器启用了TRACE方法 11 5.4.2 WebDAV远程代码执行. 12 5.4.3 目录列表/索引可查看. 12 5.4.4 不安全的HTTP方法. 12 5.4.5 PUT文件上传, 12 5.5 cookie安全缺陷 12 5.5.1 会话cookie中缺少Secure属性 12 5.5.2 会话cookie中缺少HttpOnly属性. 13 5.5.3 不安全的Session/token传输 13 5.5.4 永久性cookie.. 13 5.6 常见数据库文件下载. 13 5.7 劫持与重定向. 13 5.7.1 点击劫持 13 5.7.2 未限制的URL重定向 14 5.7.3 跨站请求伪造 14 5.8 任意文件上传.. 14 5.9 任意文件下载. 5.10 任意密码重置, 14 5.11 信息残留. 14 5.12 拒绝服务 15 5.12.1 拒绝服务 15 5.12.2 PHPWeb表单哈希冲突拒绝服务 15 5.13 缓冲区溢出 15 5.14 隐藏字段可操纵 15 YD/T1391—2018 5.15 远程命令执行 15 5.15.1 远程代码执行 15 5.15.2 ApacheTomcat远程执行漏洞: 5.15.3 PHP远程代码执行 16 5.15.4 Java反序列化过程远程命令执行. 5.15.5 ApacheStruts2远程代码执行 16 5.15.6 GNUBash环境变量远程命令执行 16 5.15.7 Http.sys远程代码执行 16 5.16 文件包含 17 5.17 弱口令 5.18 暴力猜测. 17 5.19 认证缺陷, 17 5.19.1 未授权访问/认证不充分 17 5.19.2 认证绕过. 5.19.3 越权操作。 17 5.20 口令明文传输。 17 5.21 Heartbleed 17 附录A (xX性附录) OWASP Category:Vulnerability 19 参考文献 错误!未定义书签。 行业标准信息服务平台 IV
YD-T 3955-2021 WEB漏洞分类与定义指南
文档预览
中文文档
27 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
赞助2元下载(无需注册)
温馨提示:本文档共27页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助2元下载
本文档由 路人甲 于
2022-08-14 03:56:28
上传分享
举报
下载
原文档
(4.9 MB)
分享
友情链接
GB-T 42453-2023 信息安全技术 网络安全态势感知通用技术要求.pdf
奇安信 2022医疗卫生行业网络安全分析报告.pdf
GB-T 11107-2018 金属及其化合物粉末 比表面积和粒度测定 空气透过法.pdf
GB-T 17644-2008 纺织纤维白度色度试验方法.pdf
GB-T 39559.2-2020 城市轨道交通设施运营监测技术规范 第2部分:桥梁.pdf
GB-T 31879-2015 道路车辆 牵引座通用技术条件.pdf
GB-T 9359-2016 水文仪器基本环境试验条件及方法.pdf
GB-T 35391-2017 无损检测 工业计算机层析成像(CT)检测用空间分辨力测试卡.pdf
GB-T 42508-2023 投资项目风险评估指南.pdf
GB-T 34198-2017 起重机用钢丝绳.pdf
NIST.SP.800-53Ar4 Assessing Security and Privacy Controls in Federal Information Systems and Organizations.pdf
GB-T 18348-2022 商品条码 条码符号印制质量的检验.pdf
GM-T 0090-2020 标识密码应用标识格式规范.pdf
ISO 11551 2019 Optics and photonics — Lasers and laser-related equipment — Test method for absorptance of optical laser components.pdf
T-CPMA 016—2020 数字化预防接种门诊基本功能标准.pdf
GB-T 36968-2018 信息安全技术 IPSec VPN技术规范.pdf
NY-T 1875-2020 联合收获机报废技术条件.pdf
GB-T 17444-2013 红外焦平面阵列参数测试方法.pdf
SC-T 4001-2021 渔具基本术语.pdf
T-SZWA 001—2017 高分子益胶泥.pdf
1
/
3
27
评价文档
赞助2元 点击下载(4.9 MB)
回到顶部
×
微信扫码支付
2
元 自动下载
点击进入官方售后微信群
支付 完成后 如未跳转 点击这里下载
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。