ICS 33.040 M10 中 华 人 民 共 和 国 通 信 行 业 标 准 WEB漏洞分类与定义指南 Web vulnerability classification and definition guideline （报批稿） ×××× -×× -××发布 ×××× -×× -××实施 YD YD/T XXXX—202X ICS 33.040 M10 中华人民共和国工业和信息化部 发布 YD/T 1391 —2018 II 目 录 目 录 ................................ ................................ ............... II 前 言 ................................ ................................ .............. V WEB漏洞分类与定义指南 ................................ ............................... 1 1. 范围 ................................ ................................ .............. 1 2. 规范性引用文件 ................................ ................................ .... 1 3. 术语、定义和缩略语 ................................ ................................ 1 3.1. 术语和定义 ................................ ................................ ...... 1 3.2. 缩略语 ................................ ................................ .......... 2 4. 分类原则与说明 ................................ ................................ .... 3 5. 漏洞分类与定义 ................................ ................................ .... 3 5.1. 注入类 ................................ ................................ .......... 3 5.1.1 SQL注入 ................................ ................................ ....... 3 5.1.2 XPath注入 ................................ ................................ ...... 4 5.1.3 LDAP注入 ................................ ................................ ..... 4 5.1.4 CRLF注入 ................................ ................................ ...... 4 5.1.5 服务器端包含注入 ................................ ............................... 5 5.1.6 XML外部实体注入 ................................ .............................. 5 5.1.7 系统命令注入 ................................ ................................ ... 5 5.1.8 EL表达式注入 ................................ ................................ .. 5 5.1.9 框架注入 ................................ ................................ ....... 5 5.1.10 链接注入 ................................ ................................ ...... 6 5.1.11 CSV注入 ................................ ................................ ...... 6 5.2. XSS跨站脚本 ................................ ................................ .... 6 5.2.1. 反射型 XSS ................................ ................................ .... 6 5.2.2. 存储型 XSS ................................ ................................ .... 6 5.2.3. DOM型XSS ................................ ................................ ... 7 5.3. 信息泄露 ................................ ................................ ........ 7 5.3.1 phpinfo信息泄露 ................................ ................................ 7 5.3.2 SVN源码信息泄露 ................................ ............................... 7 5.3.3 IIS短文件名 泄露 ................................ ................................ 7 5.3.4 CVS相关文件泄露 ................................ ............................... 7 5.3.5 robots.txt 泄露 ................................ ................................ ... 7 5.3.6 源码泄露 ................................ ................................ ....... 8 5.3.7 物理路径信息泄露 ................................ ............................... 8 5.3.8 Flash文件源代码泄露 ................................ ............................ 8 5.3.9 html注释敏感信息泄露 ................................ ........................... 8 YD/T 1391 —2018 III 5.3.10 IIS location 信息泄露 ................................ ............................ 8 5.3.11 连接数据库文件泄露 ................................ ............................ 9 5.3.12 电话号码信息泄露 ................................ .............................. 9 5.3.13 电子邮件信息泄露 ................................ .............................. 9 5.3.14 内部 IP地址泄露 ................................ ............................... 9 5.3.15 git信息泄露 ................................ ................................ .... 9 5.3.16 日志信息泄露