ICS 33.040 YD M10 中华人民共和国通信行业标准 YD/T 3955—2021 WEB 漏洞分类与定义指南 Web vulnerability classification and definition guideline 2021-12-02 发布 2022-04-01实施 中华人民共和国工业和信息化部 发布 YD/T3955—2021 目 次 前言· 1 范围 2 规范性引用文件 3术语、定义和缩略语 4 分类原则与说明· 漏洞分类与定义· 5.1 注入类 5.2 XSS跨站脚本 5.3 信息泄露 5.4 服务配置缺陷 5.5 cookie安全缺陷 10 5.6 常见数据库文件下载 5.7 劫持与重定向 5.8 任意文件上传 5.9 任意文件下载 5.10 任意密码重量 5.11 信息残留 12 5.12 拒绝服务 5.13 缓冲区溢出 5.14 隐藏字段可操纵 13 5.15 远程命令执行 5.16 文件包含 5.17 弱口令 5.18 暴力猜测· 5.19 认证缺陷 5.20 口令明文传输 5.21 Heartbleed 附录A （资料性附录）OWASP漏洞分类 YD/T3955—2021 前言 本标准按照GB/T1.1一2009给出的规则起草。 本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：中国移动通信集团有限公司、北京神州绿盟科技有限公司、杭州安恒信息技术 股份有限公司、国家计算机网络应急技术处理协调中心。 本标准主要起草人：付俊、郭智慧、陈福祥、姜一娇、王晖、任兰芳、李江。 II YD/T3955—2021 WEB漏洞分类与定义指南 1范围 本标准规定了WEB漏洞分类与定义，具体包括WEB漏洞的统一命名、编号和定义，以及详细分 类和定义标准等。WEB漏洞主要指WEB应用程序编码漏洞，以及WEB容器和组件等不安全的配置产 生的漏洞。 本标准适用于WEB安全相关产品漏洞的统一描述，也可作为WEB站点安全测试结果规范化描述 的参考。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T30279—2013信息安全技术安全漏洞等级划分指南 GB/T28458一2012信息安全技术安全漏洞标识与描述规范 GB/T33561—2017信息安全技术安全漏洞分类 3术语、定义和缩略语 3.1术语和定义 下列术语和定义适用于本文件。 3.1.1 SQL 注入 SQL injection 通过构造特定的输入字符串实现对Web应用系统后台数据库的非法操作。 3.1.2 Cookie 注入cookie injection 通过构造特定的Cookie值实现对Web应用系统后台数据库的非法操作。 3.1.3 跨站攻击cross site scripting 将恶意脚本隐藏在用户提交的数据中，实现篡改服务器正常的响应页面。 3.1.4 跨站请求伪造cross site request forgery 通过伪装来自受信任用户的请求来利用受信任的Web系统完成一定的操作。 1 YD/T 3955—2021 3.1.5 文件包含file inclusion 种通过Web应用脚本特性(函数)去包含任意文件时，由于要包含的这个文件来源过滤不严,从而 可以去包含一个恶意文件来达到非法操作。 3.1.6 命令执行commandexecution 由于服务器端没有针对执行函数做过滤，导致客户端可以提交恶意构造语句提交来执行系统命令的 非法操作。 3.1.7 LDAP 注入 LDAP injection 通过用户提供的输入来构造轻量级目录访问控制语句，从而攻击Web应用。 3.1.8 XPath 注入 XPath injection 由用户提供的输入构造XPath查询，从而攻击Web应用。 3.2缩略语 下列缩略语适用于本文件。 CSRF 跨站请求伪造 Cross Site Request Forgery HTTP 超文本传输协议 HyperText Transfer Protocol HTTPS 安全超文本传输协议 Hypertext Transfer Protocol over Secure Socket Layer LDAP 轻量目录访问协议 Lightweight Directory Access Protocol OWASP 开放式网页应用程序安全项目 Open Web Application Security Project SQL 结构化查询语言 Structured Query Language SSL 安全套接层 Secure Sockets Layer URI 统一资源标识符 Uniform Resource Identifier URL 统一资源定位符,也称网页地址 Universal Resource Locator WAVD Web应用漏洞库 Web Application Vulnerability Database WSDL Web服务描述语言 Web Services Description Language 4分类原则与说明 本标准对WEB漏洞进行了定义和分类，具体包括WEB漏洞的定义、详细分类危险等级以及验证 评价标准。 分类和定义参考OWASP定义的63类WEB漏洞（参见附录A），结合目前业界主流扫描器厂商的 实际扫描漏洞信息。 漏洞等级的划分参考GB/T30279—2013《信息安全技术安全漏洞等级划分指南》、GB/T28458—2012 《信息安全技术安全漏洞标识与描述规范》和GB/T33561一2017《信息安全技术安全漏洞分类》，从访 2 YD/T39552021 问路径、利用复杂度和影响程度三个方面进行划分，分为高危漏洞、中危漏洞和低危漏洞。其中高危漏 洞主要指可远程利用并能直接获取系统权限（服务器端权限、客户端权限）、能够导致远程拒绝服务的 漏洞或者远程获取系统账号口令等敏感信息，包括但不仅限于命令注入、远程命令执行、上传获取 WebShell、SQL注入、缓冲区溢出、绕过认证核心业务非授权访问、核心业务后台弱密码等；中危漏洞 是指能远程获取配置和身份等敏感信息、本地利用的漏洞，或者策略设置不严导致的暴力破解等风险； 包括但不限于客户端明文密码存储、路径遍历等；低危漏洞是指能够轻微信息泄露的安全漏洞，包括服 务器版本泄露、路径信息泄露、SVN信息泄露、phpinfo信息泄露等。 目前业界WEB漏洞扫描和WAF等WEB领域安全产品对WEB漏洞的认定存在差异，包括命名、 数量和位置等，验证评价标准主要描述了对同一个漏洞的认定方式。 5漏洞分类与定义 5.1注入类 5.1.1 SQL 注入 通过把SQL命令插入Web表单提交、输入域名或页面请求的查询字符串，最终达到欺骗服务器执 行恶意的SQL命令。按照构造和提交SQL语句的方式进行划分，SQL注入又分为GET型注入、POST 型注入和Cookies型注入。 5.1.1.1 GET型 SQL注入 漏洞名称 GET型SQL注入 编号 WAVD-01-001 危害级别 描述 提交数据的方式为GET，注入点的位置在GET参数部分，通常发生在网页的URL 5.1.1.2 POST型SQL注入 漏洞名称 POST型SQL注入 编号 WAVD-01-002 危害级别 高 描述 使用POST方式提交数据，注入点位置在POST数据部分，通常发生在表单输入框中 5.1.1.3 Cookie型SQL注入 漏洞名称 Cookie 型SQL注入 编号 WAVD-01-003 危害级别 高 描述 HTTP请求时通常有客户端的Cookie，注入点存在Cookie的某个字段中 5.1.2 XPath 注入 XPath注入攻击是指利用XPath解析器的松散输入和容错特性，能够在URL、表单或其他信息上附 带恶意的XPath查询代码，以获得权限信息的访问权并更改这些信息。通过该攻击，攻击者可以控制用 来进行XPath查询的XML数据库。这种攻击可以有效地对付使用XPath查询（和XML数据库）来执 行身份验证、查找或者其他操作。 3 YD/T 3955—2021 漏洞名称 Xpath 注入 编号 WAVD-01-004 危害级别 高 用户注入的特殊字符引发的Xpath语法错误，数据库服务器接收格式不正确的Xpath查询并向WEB服 描述 务器返回错误信息，WEB服务器将错误信息展示给用户 5.1.3 LDAP注入 轻量级目录访问协议（LDAP）是用来查询及操作目录服务数据的应用层协议。LDAP协议通过TCP 传输协议来运行。Web应用程序可以通过用户提供的输入来创建动态LDAP语句 漏洞名称 LDAP注入 编号 WAVD-01-005 危害级别 高 当Web应用程序没有对用户提供的输入适当过滤和检查时，攻击者便有可能修改LDAP语句的结构， 描述 并且利用例如数据库服务器、Web应用程序服务器、Web服务器等的权限执行任意命令。这有可能造 成很严重的安全问题，许可权可能会允许查询、修改或除去LDAP树状构造内任何数据 5.1.4 CRLF注入 漏洞名称 CRLF注入 编号 WAVD-01-006 危害级别 中 HTTP头使用回车换行作为不同关键字的分隔符，如果web应用程序没有充分过滤用户输入的信息，而 是直接将用户输入信息保存在HTTP响应头返回给客户端，就有可能将回车换行符嵌入HTTP响应头