Опубликована финальная версия классификации угроз в Web-приложениях (WASC-TC-v2_0)

Web Application Security Consortium опубликовали финальную версию классификации угроз в Web-приложениях ( WASC-TC-v2_0 ). Данная классификация представляет собой совместную попытку собрать воедино угрозы безопасности Web-приложений. WASC Threat Classification v2.0 доступен в виде PDF-файла и по адресу: http://projects.webappsec.org/Threat-Classification . По сравнению с первой версией классификации угроз в Web-приложениях, WASC-TC-v2 претерпел множество изменений и нововведений. Нельзя сказать, что все они являются необходимыми и, с моей точки зрения, не все они являются правильными. Так, например, в текущей версии WASC-TC-v2 отсутствуют весьма полезные категории разделения уязвимостей - "Классы атак" (Authentication/Authorization/Client-side Attacks/Command Execution/etc). С другой стороны введены новые понятия - "Атака" (Attacks) и "Слабость защитных механизмов" (Weaknesses). Появилось три новых классификатора уязвимостей: Design, Implementation и Deployment. Design уязвимости на уровне архитектуры Web-приложения. Например, отсутствие механизмов противодействия атаке типа "Перебор пароля" или отсутствие защиты от CSRF это уязвимости архитектуры приложения. Implementation уязвимости уровня реализации самого Web-приложения. В данную категорию попадает наибольшее число уязвимостей (внедрение операторов SQL, межсайтовое выполнение сценариев и пр.). Deployment уязвимости развертывания. Например, индексация директорий и предсказуемое расположение ресурсов относятся к уязвимостям развертывания Web-приложения.