YD T 3955-2021 WEB漏洞分类与定义指南.pdf

1、 ICS 33.040 M10 中 华 人 民 共 和 国 通 信 行 业 标 准 WEB 漏洞 分类与定 义指南 Web vulnerability classification and definition guideline （报批稿 ） - - 发布 - - 实施 YD YD/T XXXX 202X ICS 33.040 M10 中 华 人 民 共 和 国 工 业 和 信 息 化 部 发布 YD/T 1391 2018 II 目 录 目 录 . II 前 言 . V WEB 漏 洞分 类与 定义 指南 . 1 1. 范围 . 1 2. 规范性 引用 文件 . 1 3. 术语、 定义 和

2、缩 略语 . 1 3.1. 术语和 定义 . 1 3.2. 缩略语 . 2 4. 分类原 则与 说明 . 3 5. 漏洞分 类与 定义 . 3 5.1. 注入类 . 3 5.1.1 SQL 注入 . 3 5.1.2 XPath 注入 . 4 5.1.3 LDAP 注入 . 4 5.1.4 CRLF 注入 . 4 5.1.5 服务器 端包 含注 入 . 5 5.1.6 XML 外 部实 体注 入 . 5 5.1.7 系统命 令注 入 . 5 5.1.8 EL 表达 式注 入 . 5 5.1.9 框架注 入 . 5 5.1.10 链接注 入 . 6 5.1.11 CSV 注入 . 6 5.2. X

3、SS 跨 站脚 本 . 6 5.2.1. 反射 型 XSS . 6 5.2.2. 存储 型 XSS . 6 5.2.3. DOM 型 XSS . 7 5.3. 信息泄 露 . 7 5.3.1 phpinfo 信 息泄 露 . 7 5.3.2 SVN 源码 信息 泄露 . 7 5.3.3 IIS 短文 件名 泄露 . 7 5.3.4 CVS 相 关文 件泄 露 . 7 5.3.5 robots.txt 泄露 . 7 5.3.6 源码泄 露 . 8 5.3.7 物理路 径信 息泄 露 . 8 5.3.8 Flash 文件 源代 码泄 露 . 8 5.3.9 html 注释敏 感信 息泄 露 . 8

4、 YD/T 1391 2018 III 5.3.10 IIS location 信 息泄 露 . 8 5.3.11 连接数 据库 文件 泄露 . 9 5.3.12 电话号 码信 息泄 露 . 9 5.3.13 电子邮 件信 息泄 露 . 9 5.3.14 内部 IP 地址 泄露 . 9 5.3.15 git 信息泄 露 . 9 5.3.16 日志信 息泄 露 . 9 5.3.17 备份文 件泄 露 . 9 5.3.18 测试用 例文 件泄 露 . 10 5.3.19 数据库 服务 敏感 信息 泄露 . 10 5.3.20 文本信 息泄 露 . 10 5.3.21 配置文 件泄 露 . 10 5

5、.3.22 错误页 面 web 应用 服务 器 版本信 息泄 露 . 10 5.3.23 Apache HTTP Server httpOnly Cookie 信 息泄 露漏 洞 . 10 5.3.24 .htaccess 文 件泄 露 . 11 5.3.25 网站地 图文 件泄 露 . 11 5.3.26 测试目 录泄 露 . 11 5.3.27 网站管 理后 台泄 露 . 11 5.3.28 web 应用 默认 目录 泄露 . 11 5.4 服务配 置缺 陷 . 11 5.4.1 服务器 启用 了 TRACE 方法 . 11 5.4.2 WebDAV 远程 代码 执行 . 12 5.4.3

6、 目录列 表/ 索 引可 查看 . 12 5.4.4 不安全 的 HTTP 方法 . 12 5.4.5 PUT 文 件上 传 . 12 5.5 cookie 安 全缺 陷 . 12 5.5.1 会话 cookie 中缺少 Secure 属性 . 12 5.5.2 会话 cookie 中缺少 HttpOnly 属性 . 13 5.5.3 不安全 的 Session/token 传输 . 13 5.5.4 永久 性 cookie . 13 5.6 常见数 据库 文件 下 载 . 13 5.7 劫持与 重定 向 . 13 5.7.1 点击劫 持 . 13 5.7.2 未限制 的 URL 重定 向 .

7、 14 5.7.3 跨站请 求伪 造 . 14 5.8 任意文 件上 传 . 14 5.9 任意文 件下 载 . 14 5.10 任意密 码重 置 . 14 5.11 信息残 留 . 14 5.12 拒绝服 务 . 15 5.12.1 拒绝服 务 . 15 5.12.2 PHP Web 表 单哈 希冲突 拒 绝服务 . 15 5.13 缓冲区 溢出 . 15 5.14 隐藏字 段可 操纵 . 15 YD/T 1391 2018 IV 5.15 远程命 令执 行 . 15 5.15.1 远程代 码执 行 . 15 5.15.2 Apache Tomcat 远 程执 行漏 洞 . 15 5.15.

8、3 PHP 远 程代 码执 行 . 16 5.15.4 Java 反 序列 化过 程远 程命 令执行 . 16 5.15.5 Apache Struts2 远程 代码 执 行 . 16 5.15.6 GNU Bash 环 境变 量远 程 命令执 行 . 16 5.15.7 Http.sys 远 程代 码执 行 . 16 5.16 文件包 含 . 17 5.17 弱口令 . 17 5.18 暴力猜 测 . 17 5.19 认证缺 陷 . 17 5.19.1 未授权 访问/ 认证 不充 分 . 17 5.19.2 认证绕 过 . 17 5.19.3 越权操 作 . 17 5.20 口令明 文传 输

9、 . 17 5.21 Heartbleed . 17 附录 A （XX 性 附录 ） OWASP Category:Vulnerability . 19 参考文 献 . 错误!未定义书签。 YD/T 1391 2018 V 前 言 本标准 按照GB/T 1.1-2009 给出的 规则 起草 。 本标准 的某 些内 容可 能涉 及专利 。本 标准 的发 布机 构不承 担识 别这 些专 利的 责任。 本标准 由中 国通 信标 准化 协会提 出并 归口 。 本标准 起草 单位 ： 中国 移 动通信 集团 有限 公司 、 北 京神州 绿盟 科技 有限 公司 、 杭 州安 恒 信 息技 术股 份有限 公

10、司 、国 家计 算机 网络应 急技 术处 理协 调中 心 。 本标准 主要 起草 人： 付俊 、郭智 慧、 陈福 祥、 姜一 娇、王晖 、 任兰 芳、 李江 。YD/T 1391 2018 1 WEB 漏洞分类与定义指南 1. 范围 本标准 规定 了WEB 漏 洞分 类 与定 义 ， 具体 包括WEB 漏洞的 统一 命名 、 编 号和 定义， 以及 详细 分类 和 定义标准 等。WEB漏洞 主 要指WEB 应 用程序编 码漏 洞，以及WEB 容器和 组件 等不安全 的配置产生 的漏洞 。 本标准适 用于 WEB 安全 相关产品 漏洞的 统一 描述 ，也可作 为WEB 站点安全测试 结果 规范化

11、 描述 的参考 。 2. 规范性 引用 文件 下列文 件对 于本 文件 的应 用是必 不可 少的 。凡 是注 日期的 引用 文件 ，仅 所注 日期的 版本 适用 于 本 文件。 凡是 不注 日期 的引 用文件 ，其 最新 版本 （包 括所有 的修 改单 ）适 用于 本文件 。 GB/T 30279-2013 信息 安全技 术 安全 漏洞 等级 划 分指南 GB/T 28458-2012 信息 安全技 术 安全 漏洞 标识 与 描述规 范 GB/T 33561-2017 信息 安全技 术 安全 漏洞 分类 3. 术语、 定义 和缩 略语 3.1. 术语和 定义 下列术 语和 定义 适用 于本 文

12、件。 3.1.1 SQL 注入 SQL injection 通过构 造特 定的 输入 字符 串实现 对Web 应 用系 统后 台 数据库 的非 法操 作。 3.1.2 Cookie 注入 cookie injection 通过构 造特 定的Cookie 值 实现对Web 应用 系统 后台 数 据库的 非法 操作 。 3.1.3 跨站攻击 cross site scripting 将恶意 脚本 隐藏 在用 户提 交的数 据中,实 现篡 改服 务 器正常 的响 应页 面。 3.1.4 跨站请求伪造 cross site request forgery 通过伪 装来 自受 信任 用户 的请求 来利

13、用受 信任 的Web 系统来 完成 一定 的操 作。 YD/T 1391 2018 2 3.1.5 文件包含 file inclusion 一种通 过Web 应 用脚 本特 性(函数) 去包 含任 意文 件时, 由于要 包含 的这 个文 件来 源过滤 不严,从 而 可以去 包含 一个 恶意 文件 来达到 非法 操作 。 3.1.6 命令执行 command execution 由 于 服务 器 端没 有针 对执行 函 数做 过 滤, 导 致客 户端可 以 提交 恶意 构 造语 句提交 来 执行 系统 命 令 的 非 法操 作。 3.1.7 LDAP 注入 LDAP injection 通过用

14、户提 供的 输入 来构 造轻量 级目 录访 问控 制语 句,从 而攻 击Web 应用 。 3.1.8 XPath 注入 XPath injection 由用户 提供 的输 入构 造XPath 查询,从 而攻 击Web 应用 。 3.2. 缩略语 下列缩 略语 适用 于本 文件 。 CSRF: 跨站 请求 伪造(Cross Site Request Forgery) HTTP: 超文 本传 输协 议(HyperText Transfer Protocol) HTTPS: 安全 超文 本传 输协 议(Hypertext Transfer Protocol over Secure Socket La

15、yer) LDAP: 轻量 目录 访问 协议(Lightweight Directory Access Protocol) OWASP: 开放 式网 页应 用程 序安全 项目(Open Web Application Security Project) SQL: 结 构化 查询 语言(Structured Query Language) SSL: 安 全套 接层(Secure Sockets Layer) URI ： 统一 资源 标识 符 （Uniform Resource Identifier ） URL: 统 一资 源定 位符,也 称 网页地 址(Universal Resource Lo

16、cator) WAVD ：web 应用 漏洞 库（Web Application Vulnerability Database ） WSDL:web 服 务描 述语 言(Web Services Description Language) YD/T 1391 2018 3 4. 分类原 则与 说明 本 标准 对WEB漏洞 进 行了 定 义和分 类， 具体 包括WEB 漏 洞的 定 义、 详细 分类 危险 等级 以 及验 证评价 标准。 分类和 定义 参考OWASP定义的63类WEB 漏洞 （参 见 附录A） ， 结合 目前 业界 主流 扫 描器厂 商的 实际 扫 描漏洞 信息 。 漏洞等 级的

17、 划分 参考GB/T 30279-2013 信息 安全 技 术安全 漏洞 等级 划分 指南 、GB/T 28458-2012 信息 安全 技术 安全 漏洞 标识与 描述 规范 和GB/T 33561-2017 信息 安全 技术 安全漏 洞分 类 ， 从 访 问路径 、利 用复 杂度 和影 响程度 三个 方面 进行 划分 ， 分为 高危 漏洞 、中 危漏 洞和低 危漏 洞。 其中 高危 漏洞主要 指 可远 程利 用并 能直接 获取 系统 权限 （服 务器端 权限 、客 户端 权限 ） 、能 够导 致 远 程拒 绝 服 务的漏洞 或 者远 程获 取系 统账号 口令 等敏 感信 息 ， 包括但 不仅

18、 限于 ：命 令注 入、远 程命 令执 行、 上 传 获取WebShell 、SQL 注入 、 缓冲区 溢出 、绕 过认 证核 心业务 非授 权访 问、 核心 业务后 台弱 密码 等 ； 中 危漏洞 是指 能 远 程获 取配 置和身 份等 敏感 信息 、本 地利用 的漏 洞， 或者 策略 设置不 严导 致的 暴力 破 解 等风险 ； 包 括但 不限 于客 户端明 文密 码存 储 、 路径 遍历 等 ；低 危漏 洞是 指能 够轻微 信息 泄露 的安 全 漏 洞，包 括服 务器 版本 泄露 、 路径 信息 泄露 、SVN 信 息 泄露、phpinfo 信息 泄露 等 。 目前业 界WEB 漏 洞扫

19、 描和WAF 等WEB 领域 安全 产品 对WEB 漏洞的 认定 存在 差异 ，包 括命名 、数 量和 位 置等， 验证 评价 标准 主要 描 述了 对同 一个 漏洞 的认 定方式 。 5. 漏洞分 类与 定义 5.1. 注入类 5.1.1 SQL 注入 通过把SQL 命令 插入 到Web 表单提 交 、 输入 域名 或页 面请求 的查 询字 符串 ， 最 终达到 欺骗 服务 器 执 行恶意 的SQL 命 令。 按照 构 造和提 交SQL 语 句的 方式 进 行划分 ，SQL 注 入又 分为GET 型注 入、POST 型注 入 和Cookies 型注 入 。 5.1.1.1 GET 型 SQL

20、 注入 漏洞名称 GET 型 SQL 注入 编号 WAVD-01-001 危害级别 高 描述 提交数 据的 方式 为GET , 注入点 的位 置在 GET 参 数 部分 ， 通常 发生 在网 页 的URL。 YD/T 1391 2018 4 5.1.1.2 POST 型 SQL 注入 漏洞 名称 POST 型 SQL 注入 编号 WAVD-01-002 危害级别 高 描述 使用 POST 方式 提交 数据 ，注入 点位 置在 POST 数 据部分 ，通 常发 生在 表单 输入框 中。 5.1.1.3 Cookie 型 SQL 注入 漏洞名称 Cookie 型 SQL 注入 编号 WAVD-01

21、-003 危害级别 高 描述 HTTP 请求 时通 常有 客户 端的 Cookie, 注 入点 存在 Cookie 的某 个字 段中 。 5.1.2 XPath 注入 XPath 注入 攻击 是指 利用XPath 解 析器 的松 散输 入和 容错特 性 ， 能够 在URL 、 表 单或其 它信 息上 附 带恶意 的XPath 查询 代 码 ，以获 得权 限信 息的 访问 权并更 改这 些信 息。 通过 该攻击 ，攻 击者 可以 控 制 用来进 行XPath 查询 的XML 数据库 。 这种 攻击 可以 有 效地对 付使 用XPath 查询 （ 和XML 数据 库 ） 来 执行 身 份验证 、查

22、 找或 者其 它操 作。 漏洞名称 Xpath 注入 编号 WAVD-01-004 危害级别 高 描述 用户注 入的 特殊 字符 引发 的 Xpath 语 法错 误， 数据 库服务 器接 收格 式不 正确 的 Xpath 查询 并向 web 服务 器返 回错 误 信息，web 服 务器 将错 误 信息展 示给 用户 。 5.1.3 LDAP 注入 轻量级 目录 访问 协议 （LDAP ） 是用 来查 询及 操作 目录 服务数 据的 应 用 层协 议。LDAP 协 议通 过TCP 传输协 议来 运行 。Web 应 用 程序可 以通 过用 户提 供的 输入来 创建 动态LDAP 语句。 漏洞名称

23、LDAP注入 编号 WAVD-01-005 危害级别 高 描述 如果 Web 应 用 程 序 没 有 对 用 户 提 供 的 输 入 适 当 过 滤 和 检 查 时 ， 攻 击 者 便 有 可 能 修 改 LDAP 语 句的 结构 ， 并 且 以 （例 如： 数据 库服 务器 、Web 应用 程序 服务 器、Web 服务 器） 的权限 执行 任意 命令 。 这 有可能 造成 很严 重的 安全 问题， 许可 权可 能会 允许 查询、 修改 或 除去 LDAP 树状 构造 内任 何数据 。 5.1.4 CRLF 注入 漏洞名称 CRLF 注入 编号 WAVD-01-006 危害级别 中 YD/T

24、1391 2018 5 描述 HTTP 头使 用回 车换 行作 为不同 关键 字的 分隔 符， 如果 web 应用 程序 没有 充 分过滤 用户 输 入的信 息， 而是 直接 将用 户输入 信息 保存 在 HTTP 响应头 返回 给客 户端 。 就 有可能 将回 车 换行符 嵌入 到 HTTP 响应 头中， 从而 导致 改 变 HTTP 头， 影响 客户 端浏 览器 对 HTTP 响应 数据的 处理 。如 修 改 Content-Length 字段 ，改 变页 面 内容。 5.1.5 服务器 端包 含注 入 漏洞名称 (SSI) 服 务 器 端 包 含 注入 编号 WAVD-01-007 危害

25、级别 高 描述 SSI （Server Side Includes ） 攻击允 许通 过 在 HTML 页 面注入 脚本 或远 程执 行任 意代码 。 可 以通过 操 控 SSI 的使 用或 在 user 输 入域 中使 用。 5.1.6 XML 外 部实 体注 入 漏洞名称 XML 外 部实 体注 入 编号 WAVD-01-008 危害级别 低 描述 XXE Injection 即 XML External Entity Injection, 也就 是 XML 外 部实 体注 入攻 击。漏 洞是 在对非安全的 外部实体数 据进行处理时 引发的安全 问题。XML 外部实体 可 以用来添加 或

26、修改与 XML 文档相关联的文档类型定义（DTD）。 XML 外 部 实 体 也 可 以 被 用 于 包 括 XML 文档 内容 中的 XML 。 现在, 假设 XML 处理 器解析 来自攻 击者 控制下 的一个 数据。 在大 多数情 况下， 处理器 不 会 验 证 ， 但 它 可 能 包 括 替 换 文 本 因 此 发 起 一 个 意 想 不 到 的 文 件 打 开 操 作, 或 HTTP 传输, 或 XML 处理 器知 道如 何 访问的 系统 ids 。 5.1.7 系统命 令注 入 漏洞名称 系统命 令注 入 编号 WAVD-01-009 危害级别 高 描述 应用程 序为 了和 操作 系

27、统 交互需 要调 用系 统命 令并 返回执 行结 果。 如果 应用 程序接 收用 户 输入而 没有 做充 分过 滤便 执行系 统命 令， 导致 攻击 者可以 以当 前用 户权 限执 行任 意 系统 命 令。 5.1.8 EL 表达 式注 入 漏洞名称 EL 表达 式注 入 编号 WAVD-01-010 危害级别 高 描述 EL （Expression Language ） 提 供了 在 JSP 脚 本编 制 元素范 围外 使用 运行 时表 达式的 功能 。 脚本编 制元 素是 指页 面中 能够用 于在 JSP 文 件中 嵌 入 Java 代码 的元 素。 el 表达式 注入 漏洞 ，使 得 攻

28、击者 可以 访 问 web 应用 application 和 session 等敏 感信息 ，甚 至是执 行系 统命 令。 5.1.9 框架注 入 漏洞名称 框架注 入 编号 WAVD-01-011 危害级别 高 YD/T 1391 2018 6 描述 注入含 有恶 意内 容的 frame 或 iframe 标记 。 5.1.10 链接注 入 漏洞名称 链接注 入 编号 WAVD-01-012 危害级别 高 描述 链接注 入” 是修 改站 点内 容的行 为， 其方 式为 将外 部站点 的 URL 嵌 入其 中 ， 或将 有易 受 攻 击的 站点中 的脚 本 的 URL 嵌入 其中。 将 URL

29、 嵌 入易 受攻击 的站 点中，攻 击者 便能 够以它 为平 台来 启动 对其 他站点 的攻 击， 以及 攻击 这个易 受攻 击的 站点 本身 。 5.1.11 CSV 注入 漏洞名称 CSV 注入 编号 WAVD-01-013 危害级别 高 描述 CSV 注入 又叫 公式注 入(CSV Injection ） 。攻 击 包 含 向恶意 的 EXCEL 公 式中 注入可 以输 出 或以 CSV 文 件读 取的 参数 。 当在 Excel 中打 开 CSV 文件时 ， 文 件会 从 CSV 描 述转变 为原 始的 Excel 格式， 包括 Excel 提供的 所有动 态功 能。 在这个 过程 中，CSV 中 的 所有 Excel 公式都 会执 行。 当 向 该函 数 中植 入恶 意代 码 时 ，很 易被滥 用并 允许 恶意 代码 执行。