文库搜索
切换导航
首页
频道
联系我们
国家标准目录
国际ISO标准目录
行业标准目录
地方标准目录
首页
联系我们
国家标准目录
国际ISO标准目录
行业标准目录
地方标准目录
批量下载
ICS 33.040 M10 YD 中华人民共和国通信行业标准 YD/T XXXX202X WEB漏洞分类与定义指南 Web vulnerability classification and definition guideline (报批稿) 行业标准信息服务平台 XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部发布 YD/T1391—2018 目 目 录 前 言 WEB漏洞分类与定义指南 1. 范围 2. 规范性引用文件 3. 术语、定义和缩略语 3.1. 术语和定义 3.2. 缩略语 4. 分类原则与说明 5. 漏洞分类与定义 5.1. 注入类, 5.1.1 SQL注入 5.1.2 XPath 注入 5.1.3 LDAP 注入 5.1.4 CRLF注入 5.1.5 服务器端包含注入 5.1.6 XML外部实体注入 5.1.7 系统命令注入, 5.1.8 EL表达式注入 5.1.9 框架注入。 5.1.10 链接注入. 5.1.11 CSV注入 5.2. XSS跨站脚本, 5.2.1. 反射型XSS. 5.2.2. 存储型XSS. 5.2.3. DOM型XSS 5.3. 信息泄露 5.3.1 phpinfo信息泄露 5.3.2 SVN源码信息泄露 5.3.3 IIS短文件名泄露 5.3.4 CVS相关文件泄露, 5.3.5 robots.txt泄露 5.3.6 源码泄露.. 5.3.7 物理路径信息泄露. 5.3.8 Flash文件源代码泄露 5.3.9 html注释敏感信息泄露 YD/T 1391—2018 5.3.10 lIslocation信息泄露. 8 5.3.11 连接数据库文件泄露 5.3.12 电话号码信息泄露. 5.3.13 电子邮件信息泄露.. 5.3.14 内部IP地址泄露. 5.3.15 git信息泄露. 5.3.16 日志信息泄露 9 5.3.17 备份文件泄露. 9 5.3.18 测试用例文件泄露 10 5.3.19 数据库服务敏感信息泄露. 10 5.3.20 文本信息泄露. 10 5.3.21 配置文件泄露. 10 5.3.22 错误页面web应用服务器版本信息泄露 10 5.3.23 Apache HTTPServer"httpOnly"Cookie信息泄露漏洞。 10 5.3.24 .htaccess文件泄露. 11 5.3.25 网站地图文件泄露. 11 5.3.26 测试目录泄露. 11 5.3.27 网站管理后台泄露 11 5.3.28 web应用默认目录泄露 11 5.4 服务配置缺陷. 11 5.4.1 服务器启用了TRACE方法 11 5.4.2 WebDAV远程代码执行. 12 5.4.3 目录列表/索引可查看. 12 5.4.4 不安全的HTTP方法. 12 5.4.5 PUT文件上传, 12 5.5 cookie安全缺陷 12 5.5.1 会话cookie中缺少Secure属性 12 5.5.2 会话cookie中缺少HttpOnly属性. 13 5.5.3 不安全的Session/token传输 13 5.5.4 永久性cookie.. 13 5.6 常见数据库文件下载. 13 5.7 劫持与重定向. 13 5.7.1 点击劫持 13 5.7.2 未限制的URL重定向 14 5.7.3 跨站请求伪造 14 5.8 任意文件上传.. 14 5.9 任意文件下载. 5.10 任意密码重置, 14 5.11 信息残留. 14 5.12 拒绝服务 15 5.12.1 拒绝服务 15 5.12.2 PHPWeb表单哈希冲突拒绝服务 15 5.13 缓冲区溢出 15 5.14 隐藏字段可操纵 15 YD/T1391—2018 5.15 远程命令执行 15 5.15.1 远程代码执行 15 5.15.2 ApacheTomcat远程执行漏洞: 5.15.3 PHP远程代码执行 16 5.15.4 Java反序列化过程远程命令执行. 5.15.5 ApacheStruts2远程代码执行 16 5.15.6 GNUBash环境变量远程命令执行 16 5.15.7 Http.sys远程代码执行 16 5.16 文件包含 17 5.17 弱口令 5.18 暴力猜测. 17 5.19 认证缺陷, 17 5.19.1 未授权访问/认证不充分 17 5.19.2 认证绕过. 5.19.3 越权操作。 17 5.20 口令明文传输。 17 5.21 Heartbleed 17 附录A (xX性附录) OWASP Category:Vulnerability 19 参考文献 错误!未定义书签。 行业标准信息服务平台 IV
YD-T 3955-2021 WEB漏洞分类与定义指南
文档预览
中文文档
27 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
赞助3元下载(无需注册)
温馨提示:本文档共27页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助3元下载
本文档由 路人甲 于
2022-08-14 03:56:28
上传分享
举报
下载
原文档
(4.9 MB)
分享
友情链接
GB-T 42506-2023 国有企业采购信用信息公示规范.pdf
T-XJNFCP 001—2023 预制菜.pdf
GB-T 43207-2023 信息安全技术 信息系统密码应用设计指南.pdf
GB-T 9254.1-2021 信息技术设备、多媒体设备和接收机 电磁兼容 第1部分:发射要求.pdf
T-CCPITCSC 119—2023 企业税务风险管理指南.pdf
GB-T 38644-2020 信息安全技术 可信计算 可信连接测试方法.pdf
JR-T 0036-2016 再保险数据交换规范.pdf
GB-T 34975-2017 信息安全技术 移动智能终端应用软件安全技术要求和测试评价方法.pdf
GB-T 42453-2023 信息安全技术 网络安全态势感知通用技术要求.pdf
GB 29743.1-2022 机动车冷却液 第1部分:燃油汽车发动机冷却液.pdf
生成式人工智能(AIGC).pdf
T-CRHA 017—2023 人肝祖细胞类器官构建、质量控制与保藏操作指南.pdf
GB-T 14506.14-2010 硅酸盐岩石化学分析方法 第14部分:氧化亚铁量测定.pdf
T-CAMETA 001006.3—2022 工业网关 第3部分:面向数控系统的工业网关测评技术规范.pdf
T-CEC 725—2022 户用光伏发电与储能一体化系统技术要求.pdf
DB65-T4613-2022 农村卫生户厕建设与管理规范 新疆维吾尔自治区.pdf
T-CPUMT 008—2022 工业信息安全漏洞分类分级指南.pdf
GB-T 17444-2013 红外焦平面阵列参数测试方法.pdf
LD-T04-2022 人力资源社会保障网络安全监测和应急处置规范.pdf
DB44-T 2189.2-2019 移动终端信息安全 第2部分:敏感信息安全等级保护与测评 广东省.pdf
1
/
3
27
评价文档
赞助3元 点击下载(4.9 MB)
回到顶部
×
微信扫码支付
3
元 自动下载
点击进入官方售后微信群
支付 完成后 如未跳转 点击这里下载
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。