文库搜索
切换导航
首页
频道
联系我们
国家标准目录
国际ISO标准目录
行业标准目录
地方标准目录
首页
联系我们
国家标准目录
国际ISO标准目录
行业标准目录
地方标准目录
批量下载
ICS 33.040 M10 YD 中华人民共和国通信行业标准 YD/T XXXX202X WEB漏洞分类与定义指南 Web vulnerability classification and definition guideline (报批稿) 行业标准信息服务平台 XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部发布 YD/T1391—2018 目 目 录 前 言 WEB漏洞分类与定义指南 1. 范围 2. 规范性引用文件 3. 术语、定义和缩略语 3.1. 术语和定义 3.2. 缩略语 4. 分类原则与说明 5. 漏洞分类与定义 5.1. 注入类, 5.1.1 SQL注入 5.1.2 XPath 注入 5.1.3 LDAP 注入 5.1.4 CRLF注入 5.1.5 服务器端包含注入 5.1.6 XML外部实体注入 5.1.7 系统命令注入, 5.1.8 EL表达式注入 5.1.9 框架注入。 5.1.10 链接注入. 5.1.11 CSV注入 5.2. XSS跨站脚本, 5.2.1. 反射型XSS. 5.2.2. 存储型XSS. 5.2.3. DOM型XSS 5.3. 信息泄露 5.3.1 phpinfo信息泄露 5.3.2 SVN源码信息泄露 5.3.3 IIS短文件名泄露 5.3.4 CVS相关文件泄露, 5.3.5 robots.txt泄露 5.3.6 源码泄露.. 5.3.7 物理路径信息泄露. 5.3.8 Flash文件源代码泄露 5.3.9 html注释敏感信息泄露 YD/T 1391—2018 5.3.10 lIslocation信息泄露. 8 5.3.11 连接数据库文件泄露 5.3.12 电话号码信息泄露. 5.3.13 电子邮件信息泄露.. 5.3.14 内部IP地址泄露. 5.3.15 git信息泄露. 5.3.16 日志信息泄露 9 5.3.17 备份文件泄露. 9 5.3.18 测试用例文件泄露 10 5.3.19 数据库服务敏感信息泄露. 10 5.3.20 文本信息泄露. 10 5.3.21 配置文件泄露. 10 5.3.22 错误页面web应用服务器版本信息泄露 10 5.3.23 Apache HTTPServer"httpOnly"Cookie信息泄露漏洞。 10 5.3.24 .htaccess文件泄露. 11 5.3.25 网站地图文件泄露. 11 5.3.26 测试目录泄露. 11 5.3.27 网站管理后台泄露 11 5.3.28 web应用默认目录泄露 11 5.4 服务配置缺陷. 11 5.4.1 服务器启用了TRACE方法 11 5.4.2 WebDAV远程代码执行. 12 5.4.3 目录列表/索引可查看. 12 5.4.4 不安全的HTTP方法. 12 5.4.5 PUT文件上传, 12 5.5 cookie安全缺陷 12 5.5.1 会话cookie中缺少Secure属性 12 5.5.2 会话cookie中缺少HttpOnly属性. 13 5.5.3 不安全的Session/token传输 13 5.5.4 永久性cookie.. 13 5.6 常见数据库文件下载. 13 5.7 劫持与重定向. 13 5.7.1 点击劫持 13 5.7.2 未限制的URL重定向 14 5.7.3 跨站请求伪造 14 5.8 任意文件上传.. 14 5.9 任意文件下载. 5.10 任意密码重置, 14 5.11 信息残留. 14 5.12 拒绝服务 15 5.12.1 拒绝服务 15 5.12.2 PHPWeb表单哈希冲突拒绝服务 15 5.13 缓冲区溢出 15 5.14 隐藏字段可操纵 15 YD/T1391—2018 5.15 远程命令执行 15 5.15.1 远程代码执行 15 5.15.2 ApacheTomcat远程执行漏洞: 5.15.3 PHP远程代码执行 16 5.15.4 Java反序列化过程远程命令执行. 5.15.5 ApacheStruts2远程代码执行 16 5.15.6 GNUBash环境变量远程命令执行 16 5.15.7 Http.sys远程代码执行 16 5.16 文件包含 17 5.17 弱口令 5.18 暴力猜测. 17 5.19 认证缺陷, 17 5.19.1 未授权访问/认证不充分 17 5.19.2 认证绕过. 5.19.3 越权操作。 17 5.20 口令明文传输。 17 5.21 Heartbleed 17 附录A (xX性附录) OWASP Category:Vulnerability 19 参考文献 错误!未定义书签。 行业标准信息服务平台 IV
YD-T 3955-2021 WEB漏洞分类与定义指南
文档预览
中文文档
27 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
赞助2元下载(无需注册)
温馨提示:本文档共27页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助2元下载
本文档由 路人甲 于
2022-08-14 03:56:28
上传分享
举报
下载
原文档
(4.9 MB)
分享
友情链接
DB3303-T053-2022 公共机构节能管理规范 温州市.pdf
GB-T 33561-2017 信息安全技术 安全漏洞分类.pdf
GB-T 3782-2016 乙炔炭黑.pdf
DB11-T 051-2015 电机系统节能监测 北京市.pdf
DB3206-T 1040-2022 叉车司机实际操作技能考核规范 南通市.pdf
GB-T 28827.7-2020 信息技术服务 运行维护 第7部分:成本度量规范.pdf
GB-T 39276-2020 信息安全技术 网络产品和服务安全通用要求.pdf
NY-T 1060-2006 水泥生产用磷石膏.pdf
T-IMCPNT 001—2024 中国马奶之乡特色产业示范旗建设与管理指南.pdf
GB-T 21709.11-2009 针灸技术操作规范 第11部分:电针.pdf
GB 17354-1998 汽车前、后端保护装置.pdf
GB-T 26698-2022 考试用铅笔和涂卡专用笔.pdf
供应商安全管理制度.pdf
DB37-T 4074—2020 山东省美丽村居建设标准 山东省.pdf
中国银保监会监管数据安全管理办法(试行).pdf
NY-T 5133-2002 无公害食品 肉兔饲养管理准则.pdf
DB3305-T 216-2021 计量检定、校准数据交互规范 湖州市.pdf
T-CAME 24—2020 数字化手术室建设标准.pdf
GW0103-2014 国家电子政务外网 安全等级保护基本要求.pdf
GB-T 29309-2012 电工电子产品加速应力试验规程 高加速寿命试验导则.pdf
1
/
3
27
评价文档
赞助2元 点击下载(4.9 MB)
回到顶部
×
微信扫码支付
2
元 自动下载
点击进入官方售后微信群
支付 完成后 如未跳转 点击这里下载
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。