【缺陷类别】 【由于不良设计可能导致的问题】
身份验证 ,身份伪造、口令破解、权限提升和未授权访问。
会话管理 ,通过捕获导致会话劫持和会话伪造。
权限管理 ,访问机密或受限数据、篡改和执行未授权操作。
配置管理 ,未授权访问管理界面、更新配置数据、访问用户帐户和帐户配置文件。
敏感数据 ,机密信息泄漏和数据篡改。
加密技术 ,未授权访问机密数据或帐户信息。
安全审计 ,未能识别入侵征兆、无法证明用户的操作,以及在问题诊断中存在困难。
输入检验, 通过嵌入查询字符串、窗体字段、Cookie 和 HTTP 标头中的恶意字符串所执行的攻击。包括命令执行、跨站点脚本编写 (XSS)、SQL 注入和缓冲区溢出攻击等。
参数操作 ,路径遍历攻击、命令执行、此外还有跳过访问控制机制、导致信息泄露、权限提升和拒绝服务。
异常管理 ,拒绝服务和敏感的系统级详细信息泄露。
