ICS33.040 M10 YD 中华人民共和国通信行业标准 YD/T3955—2021 WEB漏洞分类与定义指南 Web vulnerability classification and definition guideline 2021-12-02发布 2022-04-01实施 中华人民共和国工业和信息化部发布 YD/T3955—2021 目 次 前言…… Ⅱ 1范围……. 2规范性引用文件…… 44 3术语、定义和缩略语…… 4分类原则与说明…… 2 5漏洞分类与定义…… 5.1注入类 3 5.2XSS跨站脚木…… 5 5.3信息泄露…… 5.4服务配置缺陷…… …… 10 5.5 cookie安全缺陷… ……10 5.6常见数据库文件下载…… 11 5.7劫持与重定向…… 11 5.8任意文件上传…… 12 5.9任意文件下载…… 12 5.10 任意密码重置…… …12 5.11 信息残留…… … 12 5.12拒绝服务…… 12 5.13 缓冲区溢出…… 13 5.14 隐藏字段可操纵…… 13 5.15 远程命令执行…… 13 5.16 文件包含…… 14 5.17弱口令 … 14 5.18暴力猜测……. 14 5.19 认证缺陷…… 14 5.20口令明文传输…… …15 5.21 Heartbleed-… ……15 附录A(资料性附录)OWASP漏洞分类 16 I YD/T3955—2021 前言 本标准按照GB/T1.1一2009给出的规则起草. 本文件的某些内容可能涉及专利.本文件的发布机构不承担识别这些专利的责任. 本标准由中国通信标准化协会提出并归口. 本标准起草单位:中国移动通信集团有限公司、北京神州绿盟科技有限公司、杭州安恒信息技术 股份有限公司、国家计算机网络应急技术处理协调中心. 本标准主要起草人:付俊、郭智慧、陈福祥、姜一娇、王晖、任兰芳、李江. II ...
YD/T 3955-2021 WEB 漏洞分类与定义指南.pdf
