15 de noviembre de 2010

Clasificación de Amenazas WASC 2.0

La Clasificación de Amenazas WASC es un esfuerzo de cooperación para aclarar y organizar las amenazas a la seguridad de sitios web. Los miembros del Web Application Security Consortium han creado este proyecto para desarrollar y promover estándares de la industria en lo referente a la terminología para describir estos temas. Los desarrolladores de aplicaciones, profesionales de la seguridad, proveedores de software, y auditores tendrán la posibilidad de acceder a un lenguaje común y coherente, así omo a las definiciones para los problemas de seguridad relacionados con la web.


Las amenazas  traducidas al castellano son las siguientes:
  1. Autenticación insuficiente
  2. Autorización insuficiente
  3. Desbordamientos de enteros.
  4. Insuficiente protección en la capa de transporte.
  5. Inclusión de archivos remotos.
  6. Formato de cadenas.
  7. Desbordamiento del búfer.
  8. Cross-Site Scripting.
  9. Cross-Site Request Forgery.
  10. Denegación de Servicio. DoS.
  11. Fuerza bruta.
  12. Spoofing de contenido.
  13. Fuga de información.
  14. Configuración errónea del servidor.
  15. Configuración errónea de la aplicación.
  16. Indexación incorrecta de directorios.
  17. Permisos indebidos al sistema de archivos.
  18. Predicción de credenciales y/o sesión.
  19. Inyección de SQL.
  20. Manejo inadecuado de entradas.
  21. Anti-automatización insuficiente.
  22. Manejo inadecuado de salidas.
  23. XML inyección.
  24. HTTP Request Splitting.
  25. HTTP Response Splitting.
  26. Contrabando de solicitud HTTP.
  27. Contrabando de respuesta HTTP.
  28. Inyección de Byte Nulo.
  29. Inyección LDAP.
  30. Inyección de comandos de mail.
  31. Ejecución de comandos de SO.
  32. Desvío de enrutamiento.
  33. Recorrido de rutas.
  34. Localización previsible de recursos.
  35. Abuso de Arreglos SOAP.
  36. Inyección SSI.
  37. Fijación de sesión.
  38. Abuso de redireccionamiento URL.
  39. Inyección XPath.
  40. Insuficiente validación de procesos.
  41. Sobrecarga de atributos XML.
  42. Abuso de funcionalidad.
  43. Entidades externas XML.
  44. Expansión de entidades XML.
  45. Fingerprinting.
  46. Inyección XQuery.
  47. Caducidad de sesión insuficiente.
  48. Indexación Insegura.
  49. Debilidad de recuperación de contraseña.
Para conocer más de cada una de ellas específicamente, puedes visitar directamente http://projects.webappsec.org/w/page/13246978/Threat-Classification

Hasta la próxima...
Creado por a las
Palabras claves , ,

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)

Entradas populares