文库搜索
切换导航
首页
频道
联系我们
国家标准目录
国际ISO标准目录
行业标准目录
地方标准目录
首页
联系我们
国家标准目录
国际ISO标准目录
行业标准目录
地方标准目录
批量下载
ICS 33.040 M10 YD 中华人民共和国通信行业标准 YD/T XXXX202X WEB漏洞分类与定义指南 Web vulnerability classification and definition guideline (报批稿) 行业标准信息服务平台 XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部发布 YD/T1391—2018 目 目 录 前 言 WEB漏洞分类与定义指南 1. 范围 2. 规范性引用文件 3. 术语、定义和缩略语 3.1. 术语和定义 3.2. 缩略语 4. 分类原则与说明 5. 漏洞分类与定义 5.1. 注入类, 5.1.1 SQL注入 5.1.2 XPath 注入 5.1.3 LDAP 注入 5.1.4 CRLF注入 5.1.5 服务器端包含注入 5.1.6 XML外部实体注入 5.1.7 系统命令注入, 5.1.8 EL表达式注入 5.1.9 框架注入。 5.1.10 链接注入. 5.1.11 CSV注入 5.2. XSS跨站脚本, 5.2.1. 反射型XSS. 5.2.2. 存储型XSS. 5.2.3. DOM型XSS 5.3. 信息泄露 5.3.1 phpinfo信息泄露 5.3.2 SVN源码信息泄露 5.3.3 IIS短文件名泄露 5.3.4 CVS相关文件泄露, 5.3.5 robots.txt泄露 5.3.6 源码泄露.. 5.3.7 物理路径信息泄露. 5.3.8 Flash文件源代码泄露 5.3.9 html注释敏感信息泄露 YD/T 1391—2018 5.3.10 lIslocation信息泄露. 8 5.3.11 连接数据库文件泄露 5.3.12 电话号码信息泄露. 5.3.13 电子邮件信息泄露.. 5.3.14 内部IP地址泄露. 5.3.15 git信息泄露. 5.3.16 日志信息泄露 9 5.3.17 备份文件泄露. 9 5.3.18 测试用例文件泄露 10 5.3.19 数据库服务敏感信息泄露. 10 5.3.20 文本信息泄露. 10 5.3.21 配置文件泄露. 10 5.3.22 错误页面web应用服务器版本信息泄露 10 5.3.23 Apache HTTPServer"httpOnly"Cookie信息泄露漏洞。 10 5.3.24 .htaccess文件泄露. 11 5.3.25 网站地图文件泄露. 11 5.3.26 测试目录泄露. 11 5.3.27 网站管理后台泄露 11 5.3.28 web应用默认目录泄露 11 5.4 服务配置缺陷. 11 5.4.1 服务器启用了TRACE方法 11 5.4.2 WebDAV远程代码执行. 12 5.4.3 目录列表/索引可查看. 12 5.4.4 不安全的HTTP方法. 12 5.4.5 PUT文件上传, 12 5.5 cookie安全缺陷 12 5.5.1 会话cookie中缺少Secure属性 12 5.5.2 会话cookie中缺少HttpOnly属性. 13 5.5.3 不安全的Session/token传输 13 5.5.4 永久性cookie.. 13 5.6 常见数据库文件下载. 13 5.7 劫持与重定向. 13 5.7.1 点击劫持 13 5.7.2 未限制的URL重定向 14 5.7.3 跨站请求伪造 14 5.8 任意文件上传.. 14 5.9 任意文件下载. 5.10 任意密码重置, 14 5.11 信息残留. 14 5.12 拒绝服务 15 5.12.1 拒绝服务 15 5.12.2 PHPWeb表单哈希冲突拒绝服务 15 5.13 缓冲区溢出 15 5.14 隐藏字段可操纵 15 YD/T1391—2018 5.15 远程命令执行 15 5.15.1 远程代码执行 15 5.15.2 ApacheTomcat远程执行漏洞: 5.15.3 PHP远程代码执行 16 5.15.4 Java反序列化过程远程命令执行. 5.15.5 ApacheStruts2远程代码执行 16 5.15.6 GNUBash环境变量远程命令执行 16 5.15.7 Http.sys远程代码执行 16 5.16 文件包含 17 5.17 弱口令 5.18 暴力猜测. 17 5.19 认证缺陷, 17 5.19.1 未授权访问/认证不充分 17 5.19.2 认证绕过. 5.19.3 越权操作。 17 5.20 口令明文传输。 17 5.21 Heartbleed 17 附录A (xX性附录) OWASP Category:Vulnerability 19 参考文献 错误!未定义书签。 行业标准信息服务平台 IV
YD-T 3955-2021 WEB漏洞分类与定义指南
文档预览
中文文档
27 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
赞助2元下载(无需注册)
温馨提示:本文档共27页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助2元下载
本文档由 路人甲 于
2022-08-14 03:56:28
上传分享
举报
下载
原文档
(4.9 MB)
分享
友情链接
ISO IEC 27040-2015.pdf
T-HSCA 001—2018 体育场馆钢结构检测与鉴定规程.pdf
GB-T 36548-2018 电化学储能系统接入电网测试规范.pdf
GB-T 30825-2014 热处理温度测量.pdf
GB-T 21053-2023 信息安全技术 公钥基础设施 PKI系统安全技术要求.pdf
网络安全管理制度.pdf
GB-T 8960-2015 涤纶牵伸丝.pdf
GB-T 43380-2023 自动化干散货码头综合管控系统技术要求.pdf
GB-T 33476.3-2016 党政机关电子公文格式规范 第3部分:实施指南.pdf
GB-T 42291-2022 压水堆核电厂控制区门窗辐射防护设计准则.pdf
GB-T 36896.3-2018 轻型有缆遥控水下机器人 第3部分:导管螺旋桨推进器.pdf
DB65-T 4536.5—2022 电子政务外网建设规范第5部分:网络安全实施指南 新疆维吾尔自治区.pdf
DB5201-T 121-2022 惠民生鲜超市建设与管理规范 贵阳市.pdf
GW0013-2017 国家电子政务外网 政务云安全要求.pdf
GB-T 20834-2014 发电电动机基本技术条件.pdf
T-GCHA 1.2—2018 定制家居产品 人造板定制衣柜 第2部分:原材料验收规范.pdf
T-CSAE 101—2018 智能网联汽车车载端信息安全技术要求.pdf
GB-T 43572-2023 区块链和分布式记账技术 术语.pdf
GB-T 30240.10-2017 公共服务领域英文译写规范 第10部分:商业金融.pdf
GB-T 37565-2019 给水排水用格栅除污机通用技术条件.pdf
1
/
3
27
评价文档
赞助2元 点击下载(4.9 MB)
回到顶部
×
微信扫码支付
2
元 自动下载
点击进入官方售后微信群
支付 完成后 如未跳转 点击这里下载
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。