YD_T 3955-2021 WEB漏洞分类与定义指南.docx

ICS 33.040M10YD ICS 33.040 M10 中华人民共和国通信行业标准 YD/T 3955—2021 WEB漏洞分类与定义指南 Web vulnerability classification and definition guideline 2022-04-01 实施2021-12-02 2022-04-01 实施 中华人民共和国工业和信息化部 发布 YD/T 3955 YD/T 3955—2021 PAGE PAGE # YD/T 3955 YD/T 3955—2021 PAGE PAGE # YD/T 3955 YD/T 3955—2021 PAGE PAGE # 目 次 TOC \o 1-5 \h \z 前言 II 1 范围 1 2规范性引用文件 1 3术语、定义和缩略语 1 4分类原则与说明 2 5漏洞分类与定义 3 注入类 3 \o Current Document XSS跨站脚本 5 信息泄露 6 5.4服务配置缺陷 10 5.5 cookie 安全缺陷 10 5.6常见数据库文件下载 11 5.7劫持与重定向 11 5.8任意文件上传 12 5.9任意文件下载 12 5.10任意密码重置 12 5.11信息残留 12 \o Current Document 5.12拒绝服务 12 5.13 缓冲区溢出 13 5.14隐藏字段可操纵 13 \o Current Document 5.15 远程命令执行 13 5.16文件包含 14 5.17 弱口 令 14 5.18暴力猜测 14 5.19认证缺陷 14 口令明文传输 15 \o Current Document Heartbleed 15 16附录A （资料性附录）OWASP漏洞分类 16 . i. —i— 冃IJ 言 本标准按照GB/T 1.1—2009给出的规则起草。 本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：中国移动通信集团有限公司、北京神州绿盟科技有限公司、杭州安恒信息技术 股份有限公司、国家计算机网络应急技术处理协调中心。 本标准主要起草人：付俊、郭智慧、陈福祥、姜一娇、王晖、任兰芳、李江。 YD/T 3955 YD/T 3955—2021 PAGE PAGE # YD/T 3955 YD/T 3955—2021 PAGE PAGE # YD/T 3955 YD/T 3955—2021 PAGE PAGE # WEB漏洞分类与定义指南 1范围 本标准规定了 WEB漏洞分类与定义，具体包括WEB漏洞的统一命名、编号和定义，以及详细分 类和定义标准等。WEB漏洞主要指WEB应用程序编码漏洞，以及WEB容器和组件等不安全的配置产 生的漏洞。 本标准适用于WEB安全相关产品漏洞的统一描述，也可作为WEB站点安全测试结果规范化描述 的参考。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 30279—2013信息安全技术安全漏洞等级划分指南 GB/T 28458—2012信息安全技术安全漏洞标识与描述规范 GB/T 33561—2017信息安全技术安全漏洞分类 3术语、定义和缩略语 3.1术语和定义 下列术语和定义适用于本文件。 3.1.1 SQL 注入 SQL injection 通过构造特定的输入字符串实现对Web应用系统后台数据库的非法操作。 3.1.2 Cookie 注入 cookie injection 通过构造特定的Cookie值实现对Web应用系统后台数据库的非法操作。 3.1.3 跨站攻击 cross site scripting 将恶意脚本隐藏在用户提交的数据中,实现篡改服务器正常的响应页面。 3.1.4 跨站请求伪造 cross site request forgery 通过伪装来自受信任用户的请求来利用受信任的Web系统完成一定的操作。 3.1.5 文件包含 file inclusion 一种通过Web应用脚本特性（函数）去包含任意文件时，由于要包含的这个文件来源过滤不严，从而 可以去包含一个恶意文件来达到非法操作。 3.1.6 命令执行 command execution 由于服务器端没有针对执行函数做过滤，导致客户端可以提交恶意构造语句提交来执行系统命令的 非法操作。 3.1.7 LDAP 注入 LDAP injection 通过用户提供的输入来构造轻量级目录访问控制语句，从而攻击Web应用。 3.1.8 XPath