WEB应用程序 OWASP威胁等级和分类与安全指数

10/12 信息安全相关 阅读 833 views 次 人气 0
摘要:

OWASP,Open Web Application Security Project,开放式Web应用程序安全项目,是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。

OWASP威胁安全状态分级:

风险等级

等级描述

A

扫描结果显示没有漏洞,但这并不表明系统没有漏洞,因为有许多漏洞是尚未发现的,我们只能针对已知的漏洞进行测试。

B

具有一些泄漏服务器版本信息之类的不是很重要内容的漏洞,或者提供容易造成被攻击的服务,如允许匿名登录,这种服务可能会造成许多其它漏洞。

C

具有危害级别较小的一些漏洞,如可以验证某账号的存在,可以造成列出一些页面目录、文件目录等,不会造成严重后果的漏洞。

D

具有一般的危害程度的漏洞。如拒绝服务漏洞,造成Web信息系统不能正常工作;可以让黑客获得重要文件的访问权的漏洞等。

E

具有严重危害程度的漏洞。如存在缓冲区溢出漏洞,存在木马后门,存在可以让黑客获得根用户权限或根用户的shell漏洞,根目录被设置一般用户可写等一些后果非常严重的漏洞。


OWASP威胁分类:

风险等级

等级描述

检查工具

A1

注入攻击

SQL Inject Me

A2

跨站脚本(简称XSS)

ZAP

A3

失效的认证和会话管理

HackBar

A4

不安全的直接对象引用

Burp

A5

跨站请求伪造(简称CSRF)

Tamper Data

A6

安全配置错误

Watobo

A7

不安全的密码储藏

N/A

A8

限制URL访问失败

Nikto/Wikto

A9

传输层保护不足

Calomel

A10

尚未认证的重定向和转发

Watcher


WEB应用程序的安全指数等级:

等级

说明

极高危

分值加权,加权后小于20分为:极高危

高危

分值加权,大于20分且小于等于40分为:高危

中危

分值加权,大于40且小于等于60分记为:中危

低危

分值加权,大于60且小于等于80分记为:低危

安全

分值加权,大于80分记为:安全

一般将网站评定为:极高危、高危、中危、低危、安全,共5个等级。

评论

该文章不支持评论!

分享到: