Capec的新手?从这里开始
>CAPEC列表> CAPEC-1:访问功能不正确地受到ACL的约束(版本3.9)

CAPEC-1:访问功能不正确地受到ACL的约束
攻击模式ID:1
抽象:标准
查看自定义信息:
+描述
在应用程序,尤其是Web应用程序中,授权框架可以减轻对功能的访问。该框架将访问控制列表(ACL)映射到应用程序功能的元素;特别是用于Web应用程序的URL。如果管理员未能为特定元素指定ACL,则攻击者可以不受惩罚地访问它。能够访问功能性能不正确的攻击者可以获得敏感信息,并可能损害整个应用程序。这样的攻击者可以访问只有更高特权级别的用户必须可用的资源,可以访问应用程序的管理部分,或者可以对其原本不应该使用的数据进行查询。
+攻击的可能性

高的

+典型的严重程度

高的

+关系
部分帮助该表显示了与此攻击模式相关的其他攻击模式和高级类别。这些关系定义为childof和parentof,并深入了解可能存在于较高和较低抽象水平的类似项目。此外,定义了诸如Canfollow,Peerof和Canalsobe之类的关系,以显示用户可能想要探索的类似攻击模式。
自然 类型 ID 姓名
Childof 元攻击模式元攻击模式 - CAPEC中的元级攻击模式是对攻击中使用的特定方法或技术的绝对抽象表征。元攻击模式通常没有特定的技术或实施,旨在提供对高级方法的理解。元级攻击模式是对标准级攻击模式相关组的概括。元水平攻击模式对于架构和设计水平威胁建模练习特别有用。 122 特权滥用
父母 详细的攻击模式详细的攻击模式 - CAPEC中的详细级别攻击模式提供了较低的细节,通常利用特定技术和针对特定技术,并表示完整的执行流。详细的攻击模式比元攻击模式和标准攻击模式更具体,通常需要特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用链接在一起的许多不同的标准级攻击模式来实现目标。 58 宁静的特权高程
父母 详细的攻击模式详细的攻击模式 - CAPEC中的详细级别攻击模式提供了较低的细节,通常利用特定技术和针对特定技术,并表示完整的执行流。详细的攻击模式比元攻击模式和标准攻击模式更具体,通常需要特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用链接在一起的许多不同的标准级攻击模式来实现目标。 679 开发不当配置或实现的内存保护
父母 详细的攻击模式详细的攻击模式 - CAPEC中的详细级别攻击模式提供了较低的细节,通常利用特定技术和针对特定技术,并表示完整的执行流。详细的攻击模式比元攻击模式和标准攻击模式更具体,通常需要特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用链接在一起的许多不同的标准级攻击模式来实现目标。 680 对不当控制寄存器的剥削
父母 详细的攻击模式详细的攻击模式 - CAPEC中的详细级别攻击模式提供了较低的细节,通常利用特定技术和针对特定技术,并表示完整的执行流。详细的攻击模式比元攻击模式和标准攻击模式更具体,通常需要特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用链接在一起的许多不同的标准级攻击模式来实现目标。 681 剥削不当控制的硬件安全标识符
canpreceede 标准攻击模式标准攻击模式 - CAPEC中的标准水平攻击模式集中在攻击中使用的特定方法或技术上。它通常被视为完全执行的攻击的单一奇异部分。标准攻击模式旨在提供足够的细节,以了解特定技术以及如何实现所需目标。标准水平攻击模式是更抽象的元水平攻击模式的特定类型。 17 使用恶意文件
部分帮助该表显示了此攻击模式属于该视图中的最高级别类别的视图。
查看名称 顶级类别
攻击域 软件,,,,硬件
攻击机制 颠覆访问控制
+执行流
探索

  1. 民意调查:攻击者调查目标应用程序,可能是有效且经过身份验证的用户

    技术
    蜘蛛网站的所有可用链接
    蛮力猜测资源名称
    蛮力猜测用户名 /凭据
    蛮力猜测功能名称 /动作

  2. 识别功能:在每个步骤中,攻击者都会注意执行特定动作时调用的资源或功能访问机制

    技术
    使用所有表格和输入的Web清单,并将攻击数据应用于这些输入。
    使用数据包嗅探器捕获和记录网络流量
    在调试器中执行软件,并将API调用到操作系统或重要库中。这可能会在生产环境以外的其他环境中发生,以便找到可以在生产环境中利用的弱点。
实验

  1. 迭代访问功能:可能是作为有效用户,攻击者试图直接访问每种著名的访问机制,以执行不受ACL约束的功能。

    技术
    API参数的模糊(URL参数,OS API参数,协议参数)
+先决条件
该应用程序必须以将应用程序的元素(子)与ACL相关联的方式。
攻击者必须以某种方式发现各种资源或单个URL
管理员必须忘记将ACL关联或已将不当允许的ACL与特定的可通航资源相关联。
+所需技能
[级别:低]
为了发现不受限制的资源,攻击者不需要特殊的工具或技能。他们只需要观察执行每个操作时调用的资源或访问机制,然后尝试直接访问这些访问机制。
+需要资源
无:执行此类攻击不需要专门资源。
+结果
部分帮助该表指定与攻击模式相关的不同个人后果。该范围确定了违反的安全财产,而影响描述了如果对手在攻击中成功,就会产生负面的技术影响。其可能性提供了有关预期相对于列表中其他后果的特定后果的可能性的信息。例如,可能会有很高的可能性将模式用于实现一定的影响,但是将其利用以实现不同影响的可能性很小。
范围 影响 可能性
保密
访问控制
授权
获得特权
+缓解

在J2EE设置中,管理员可以将身份验证者不可能授予“ NoAccess”之类的用户,并将其与所有访问权限的所有Servlet授予诸如“ NoAccess”之类的用户。

这样做之后,Web容器将禁止对那些受保护的servlet的任何直接访问。

在更一般的环境中,管理员必须标记每个资源,除了应该向用户暴露的资源以外,用户无法承担的角色可以访问。默认的安全设置必须是拒绝访问权限,然后仅授予访问业务逻辑预期的资源。
+示例实例

使用“单个前控制器”模式在Java EE的Servlet范式中实现模型视图控制器(MVC),该模式要求在交换其他动作servlet之前对Brokokered HTTP请求进行认证。

如果在那些动作servlet上没有安全构成,因此没有人可以访问它们,则可以颠覆前控制器。
+分类映射
部分帮助CAPEC映射到ATT&CK技术利用继承模型来简化和最大程度地减少Direct Capec/ATT&CK映射。映射的继承通过文本表示,表明父级CAPEC具有相关的ATT&CK映射。请注意,ATT&CK Enterprise框架不使用继承模型作为映射CAPEC的一部分。
与ATT&CK分类法映射有关(也请参见父母
条目ID 条目名称
1574.010 劫持执行流程:ServicesFile权限弱点
+内容历史记录
提交
提交日期 提交者 组织
2014-06-23
(版本2.6)
 CAPEC内容团队 manbetx客户端首页
修改
修改日期 修饰符 组织
2017-05-01
(版本2.10)
 CAPEC内容团队 manbetx客户端首页
更新攻击_Pattern,参考
2017-08-04
(版本2.11)
 CAPEC内容团队 manbetx客户端首页
更新攻击_Pattern,说明摘要
2020-07-30
(版本3.3)
 CAPEC内容团队 manbetx客户端首页
更新相关的_WEAKNESS,SKILKS_REQUIRED,TAXOMONY_MAPPINGS
2020-12-17
(版本3.4)
 CAPEC内容团队 manbetx客户端首页
更新相关的_attack_patterns,相关_weaknesses
2021-06-24
(版本3.5)
 CAPEC内容团队 manbetx客户端首页
更新相关的_WEAKNESS
2021-10-21
(版本3.6)
 CAPEC内容团队 manbetx客户端首页
更新相关的_WEAKNESS
2022-09-29
(版本3.8)
 CAPEC内容团队 manbetx客户端首页
更新相关的_WEAKNESS
提供更多信息 - 请选择其他过滤器。
页面最后更新或审查:2021年10月21日

使用公共攻击模式枚举和分类(CAPEC)以及本网站的相关参考使用条款。Capec由美国国土安全部(DHS)网络安全和基础设施安全局(CISA),由国土安全系统工程和开发研究所(HSSEDI)由manbetx客户端首页(MITER)。版权所有©2007–2023,Miter Comanbetx客户端首页rporation。CAPEC和CAPEC徽标是Miter Corporation的商标。manbetx客户端首页