 描述
攻击者获得未授权访问应用程序、服务或设备通过知识的身份验证机制的固有缺点,或利用一个缺陷在身份验证方案的实施。在这样的攻击身份验证机制运作,但小心控制的一系列事件导致攻击者授权访问的机制。
扩展描述
这种攻击可能利用假设由目标的验证程序,如假设关于信任关系或假设关于秘密的一代的价值观。这种攻击与身份验证旁路攻击的不同之处在于,身份验证允许攻击者滥用认证作为一个有效的用户通过非法的手段,而认证绕过允许用户访问受保护的材料没有被认证为经过身份验证的用户。这种攻击并不依赖于会话建立的成功用户认证之前,依靠的“会话变量,开发资源id和其他可信凭证”攻击模式。
典型的严重性
先决条件
| 身份验证机制或子系统实现某种形式的身份验证,如密码、主机安全证书等,这在某种程度上是有缺陷的。 |
所需资源
| 客户端应用程序、命令行访问二进制或脚本语言与身份验证机制交互的能力。 |
分类法映射
 CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
相关ATT&CK分类法映射
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2015-11-09
(版本2.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2020-07-30
(版本3.3) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Weaknesses |
| 2021-06-24
(版本3.5) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Taxonomy_Mappings |
| 2022-02-22
(版本3.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述,Extended_Description |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
