 描述
敌人操纵的使用或处理一个接口(例如应用程序编程接口(API)或芯片系统(SoC))导致不利影响的安全系统实现的接口。这可以让对手绕过访问控制和/或执行无意的功能接口实现,可能损害系统集成接口。界面操作可以采取许多形式包括迫使意想不到的使用一个接口或使用一个接口以意想不到的方式。
攻击的可能性
典型的严重性
先决条件
| 目标系统必须公开接口功能的方式,可以发现并被敌人。这可能需要逆向工程的接口或解密/反混淆的客户机-服务器交流。 |
所需资源
| 要求根据不同的性质的界面。例如,应用程序层api相关的HTTP协议的处理可能需要一个或多个以下:一个Adversary-In-The-Middle (capec - 94)代理,一个web浏览器,或编程/脚本语言。 |
例子,实例
| 敌人可能使请求的应用程序利用一个标准API,被错误地验证其数据,因此它可能被提供元字符或替代编码作为输入,导致任意数量的注射缺陷,包括SQL注入、跨站脚本或命令执行。 |
| API方法不用于生产,如调试或测试API,不得在生产环境中部署时禁用。因此,可以在生产环境中暴露危险的功能,一个对手可以利用执行额外的攻击。 |
| SoC组件包含足够的标识符,它允许敌人重置设备或从设备读取敏感数据。 |
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2015-12-07
(版本2.8) |
CAPEC内容团队 |
manbetx客户端首页 |
| Attack_Prerequisites更新,描述总结,Related_Attack_Patterns |
| 2017-05-01
(版本2.10) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Activation_Zone Injection_Vector,有效载荷、Payload_Activation_Impact Related_Weaknesses Typical_Likelihood_of_Exploit |
| 2020-12-17
(版本3.4) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新@ name, @Status描述、Example_Instances先决条件,Related_Weaknesses Resources_Required |
| 2021-06-24
(版本3.5) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Weaknesses Resources_Required |
| 以前的条目名称 |
| 改变日期 |
以前的条目名称 |
| 2015-12-07
(版本2.8) |
API /滥用误用 |
|
| 2020-12-17
(版本3.4) |
API操纵 |
|
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
