WASC V2 Threat Classification

El Web Application Security Consortium sigue trabajando en la clasificación de amenazas en su versión 2. Este proyecto es un intento de clarificar y organizar los distintos riesgos que afectan a la seguridad web. Tiene por objetivo el generar un estándar en la terminología que utilizan tanto desarrolladores de aplicaciones, profesionales de seguridad y vendedores de software, para describir todos los posibles riesgos a los que se somete una aplicación web, así como de proveer una descripción para cada uno de ellos.

Gracias a estándares de este tipo sería más sencillo abordar otros proyectos como el OWASP Top10, sin que acabe siendo un proyecto un tanto chapucero. Aunque la clasificación se somete a varios problemas ya que este documento publicó su primera versión en el año 2005 y no ha sido hasta el año 2009 que se está llevando a cabo su revisión. Además, no ha conseguido que el mercado lo acepte y recoja como ha ocurrido con otras iniciativas, actualmente cada uno sigue utilizando sus propias clasificaciones, como CWE de la National Cyber Security Division o la que pueda utilizar SecurityFocus en sus BID.

La lista de ataques final quedará de la siguiente forma:

Abuse of Functionality Brute Force Buffer Overflow Content Spoofing Credential/Session Prediction Cross-Site Scripting Cross-Site Request Forgery Denial of Service Fingerprinting Format String HTTP Request Splitting HTTP Response Splitting HTTP Request Smuggling HTTP Response Smuggling Integer Overflow LDAP Injection Mail Command Injection

Null Byte Injection OS Commanding Path Traversal Predictable Resource Location Remote File Inclusion (RFI) Routing Detour SOAP Array Abuse SSI Injection Session Fixation SQL Injection URL Redirector Abuse XPath Injection XML Attribute Blowup XML External Entities XML Entity Expansion XML Injection XQuery Injection