АУД.2.2 Разработка по результатам выявления (поиска) уязвимостей отчетов... Каталог угроз SECURITM

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

АУД.2.2 Разработка по результатам выявления (поиска) уязвимостей отчетов с описанием выявленных уязвимостей и планом мероприятий по их устранению; анализ отчетов с результатами поиска уязвимостей и оценки достаточности реализованных мер защиты информации

Группа мер:	АУД Аудит безопасности
Подгуппа:	АУД.2 Анализ уязвимостей и их устранение
Парируемые угрозы:	УБИ.2 Угроза несанкционированного доступа УБИ.3 Угроза несанкционированной модификации (искажения) УБИ.4 Угроза несанкционированной подмены УБИ.5 Угроза удаления информационных ресурсов УБИ.7 Угроза ненадлежащего (нецелевого) использования УБИ.8 Угроза нарушения функционирования (работоспособности) УБИ.10 Угроза распространения противоправной информации УБИ.11 Угроза несанкционированного массового сбора информации
Парируемые способы реализации угроз:	СП.1.1 Эксплуатация известных уязвимостей СП.1.2 Эксплуатация уязвимостей "нулевого дня" СП.22.1 SQL-инъекция СП.22.2 Инъекция в шаблон на сервере (SSTI) СП.22.3 Межсайтовый скриптинг (XSS) с запросами через сервер СП.22.4 Межсайтовый скриптинг (XSS) без участия сервера СП.22.5 Инъекция системных команд (OS injection) СП.22.6 Обход механизмов разграничения доступа СП.22.7 Нелегитимная отправка (подделка) запросов от имени пользователя (CSRF) СП.22.8 Нелегитимная отправка (подделка) запросов от имени сервера (SSRF) СП.22.9 Раскрытие чувствительной информации о пользователях СП.22.10 Раскрытие чувствительной информации о приложении и инфраструктуре СП.22.11 Ошибки конфигурирования функций безопасности СП.22.12 Использование недостатков, связанных с небезопасной десериализацией СП.22.13 Использование уязвимых библиотек и компонентов СП.22.14 Использование недостатков слабой реализации регистрации событий и мониторинга СП.22.17 Атака на XML процессор (XML External Entity) СП.22.25 Межсайтовая трассировка (XST-атака)

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.