ICS 33.040 M10 YD 中华人民共和国通信行业标准 YD/T XXXX202X WEB漏洞分类与定义指南 Web vulnerability classification and definition guideline （报批稿） 行业标准信息服务平台 XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部发布 YD/T1391—2018 目 目 录 前 言 WEB漏洞分类与定义指南 1. 范围 2. 规范性引用文件 3. 术语、定义和缩略语 3.1. 术语和定义 3.2. 缩略语 4. 分类原则与说明 5. 漏洞分类与定义 5.1. 注入类， 5.1.1 SQL注入 5.1.2 XPath 注入 5.1.3 LDAP 注入 5.1.4 CRLF注入 5.1.5 服务器端包含注入 5.1.6 XML外部实体注入 5.1.7 系统命令注入， 5.1.8 EL表达式注入 5.1.9 框架注入。 5.1.10 链接注入. 5.1.11 CSV注入 5.2. XSS跨站脚本， 5.2.1. 反射型XSS. 5.2.2. 存储型XSS. 5.2.3. DOM型XSS 5.3. 信息泄露 5.3.1 phpinfo信息泄露 5.3.2 SVN源码信息泄露 5.3.3 IIS短文件名泄露 5.3.4 CVS相关文件泄露， 5.3.5 robots.txt泄露 5.3.6 源码泄露.. 5.3.7 物理路径信息泄露. 5.3.8 Flash文件源代码泄露 5.3.9 html注释敏感信息泄露 YD/T 1391—2018 5.3.10 lIslocation信息泄露. 8 5.3.11 连接数据库文件泄露 5.3.12 电话号码信息泄露. 5.3.13 电子邮件信息泄露.. 5.3.14 内部IP地址泄露. 5.3.15 git信息泄露. 5.3.16 日志信息泄露 9 5.3.17 备份文件泄露. 9 5.3.18 测试用例文件泄露 10 5.3.19 数据库服务敏感信息泄露. 10 5.3.20 文本信息泄露. 10 5.3.21 配置文件泄露. 10 5.3.22 错误页面web应用服务器版本信息泄露 10 5.3.23 Apache HTTPServer"httpOnly"Cookie信息泄露漏洞。 10 5.3.24 .htaccess文件泄露. 11 5.3.25 网站地图文件泄露. 11 5.3.26 测试目录泄露. 11 5.3.27 网站管理后台泄露 11 5.3.28 web应用默认目录泄露 11 5.4 服务配置缺陷. 11 5.4.1 服务器启用了TRACE方法 11 5.4.2 WebDAV远程代码执行. 12 5.4.3 目录列表/索引可查看. 12 5.4.4 不安全的HTTP方法. 12 5.4.5 PUT文件上传， 12 5.5 cookie安全缺陷 12 5.5.1 会话cookie中缺少Secure属性 12 5.5.2 会话cookie中缺少HttpOnly属性. 13 5.5.3 不安全的Session/token传输 13 5.5.4 永久性cookie.. 13 5.6 常见数据库文件下载. 13 5.7 劫持与重定向. 13 5.7.1 点击劫持 13 5.7.2 未限制的URL重定向 14 5.7.3 跨站请求伪造 14 5.8 任意文件上传.. 14 5.9 任意文件下载. 5.10 任意密码重置， 14 5.11 信息残留. 14 5.12 拒绝服务 15 5.12.1 拒绝服务 15 5.12.2 PHPWeb表单哈希冲突拒绝服务 15 5.13 缓冲区溢出 15 5.14 隐藏字段可操纵 15 YD/T1391—2018 5.15 远程命令执行 15 5.15.1 远程代码执行 15 5.15.2 ApacheTomcat远程执行漏洞： 5.15.3 PHP远程代码执行 16 5.15.4 Java反序列化过程远程命令执行. 5.15.5 ApacheStruts2远程代码执行 16 5.15.6 GNUBash环境变量远程命令执行 16 5.15.7 Http.sys远程代码执行 16 5.16 文件包含 17 5.17 弱口令 5.18 暴力猜测. 17 5.19 认证缺陷， 17 5.19.1 未授权访问/认证不充分 17 5.19.2 认证绕过. 5.19.3 越权操作。 17 5.20 口令明文传输。 17 5.21 Heartbleed 17 附录A (xX性附录) OWASP Category:Vulnerability 19 参考文献 错误！未定义书签。 行业标准信息服务平台 IV