AppSec和供应商专用系统之外的攻击类型？

Question

我正在阅读OWASP的前10名，因为它帮助我保护我的web应用程序免受常见的“应用程序秒”-type攻击(，CSRF等)。在一个最近的问题中，我被提示不仅要为appsec秃鹫使用OWASP前10名，而且要列出我作为架构的一部分使用的所有应用程序和工具，并将它们与CVE数据库进行交叉检查，我将这样做。

但是还有其他类型的攻击:与appsec无关的攻击(在OWASP前10名上没有)，也没有针对供应商的攻击(因此在CVE DB中也是如此)。像DoS/DDoS这样的攻击。这些在哪里合适呢？

我希望找到这些“其他”类型攻击的列表；攻击我的软件/服务器/网络可能容易受到攻击，但没有被OWASP或CVE列出。我确信有太多的数据无法枚举，但是在某个地方，必须有人提前将它们聚合到list...thanks中。

Answer 1

请参阅CAPEC-1000，一个非常大的攻击机制列表。点击“展开所有”来查看它们。

并不是所有这些机制都是特定于网络的，但它们仍然适用。