Capec的新手?从这里开始
>CAPEC列表> CAPEC-127:目录索引(版本3.9)

CAPEC-127:目录索引
攻击模式ID:127
抽象:详细的
查看自定义信息:
+描述
对手向目标提出了一个请求,从而导致目标列表/索引目录的内容作为输出。触发目录内容作为输出的一种常见方法是构造一个请求,该请求包含一个路径,该路径以目录名称而不是文件名终止,因为在接收到该请求时,许多应用程序已配置为提供目录内容的列表。对手可以使用它来探索目标上的目录树以及学习文件的名称。这通常可以最终揭示测试文件,备份文件,临时文件,隐藏文件,配置文件,用户帐户,脚本内容以及命名约定,所有这些都可以由攻击者使用来安装其他攻击。
+攻击的可能性

高的

+典型的严重程度

中等的

+关系
部分帮助该表显示了与此攻击模式相关的其他攻击模式和高级类别。这些关系定义为childof和parentof,并深入了解可能存在于较高和较低抽象水平的类似项目。此外,定义了诸如Canfollow,Peerof和Canalsobe之类的关系,以显示用户可能想要探索的类似攻击模式。
自然 类型 ID 姓名
Childof 标准攻击模式标准攻击模式 - CAPEC中的标准水平攻击模式集中在攻击中使用的特定方法或技术上。它通常被视为完全执行的攻击的单一奇异部分。标准攻击模式旨在提供足够的细节,以了解特定技术以及如何实现所需目标。标准水平攻击模式是更抽象的元水平攻击模式的特定类型。 54 查询系统以获取信息
部分帮助该表显示了此攻击模式属于该视图中的最高级别类别的视图。
查看名称 顶级类别
攻击域 软件
攻击机制 收集和分析信息
+执行流
探索

  1. 目录发现:使用手册,脚本或自动化的方法,通过提出可能存在的目录请求来发现服务器上的目录。在此阶段,对手不太关心是否可以访问或索引目录,而更专注于简单地发现目标上存在哪些目录。

    技术
    将请求发送到通用目录名称的Web服务器
    如果发现了服务器类型本地的目录,则进一步完善目录搜索,以包括通常在这些类型的服务器上存在的目录。
    搜索可能存在的不常见或潜在用户创建的目录。
实验

  1. 迭代探索目录/文件结构:对手尝试访问允许访问并尝试使用手动或自动化方法绕过服务器或应用程序级别ACL的目录

    技术
    使用扫描仪工具动态添加目录/文件,以根据初始探针中获得的数据包括其扫描。
    使用浏览器通过发出斜线'/'终止URL的请求来手动探索网站。
    尝试通过使用已知可以通过将数据附加到目录请求到目录类型的方法来绕过目录上的ACL。例如,将null字节附加到请求的末尾,这可能会导致ACL失败并允许访问。
    依次向发现的每个目录请求通用基本文件列表。
    尝试多个模糊技术列出目录目录目录的目录,这些目录不会以“/”请求显示其内容
开发

  1. 阅读目录或不打算公众查看的文件。对手尝试访问允许访问并尝试使用手动或自动化方法绕过服务器或应用程序级别ACL的目录

    技术
    尝试多个利用技术以列出目录目录目录的目录目录,这些目录不会以“/”请求显示其内容
    尝试其他已知的利用来提升足以绕过受保护目录的特权。
    通过在“/”斜线中以URL结尾发出请求,列出目录中的文件。
    通过直接URL访问文件并捕获内容。
    尝试通过使用已知通过将数据附加到目录请求的方法来对抗某些服务器类型的方法来绕开目录上的ACL。例如,将null字节附加到请求的末尾,这可能会导致ACL失败并允许访问。
    依次向发现的每个目录请求通用基本文件列表。
+先决条件
当目标以目录名称而不是文件名结束的请求时,必须将目标错误配置为返回目录内容的列表。
对手必须能够控制目标要求的路径。
管理员必须无法正确配置ACL或将过于允许的ACL与特定目录相关联。
服务器版本或补丁级别不能固有地阻止已知目录清单攻击的工作。
+所需技能
[级别:低]
在没有给出特定文件名的情况下向URL发布请求
[级别:高]
绕过列表目录的访问控制
+需要资源
能够将HTTP请求发送到Web应用程序。
+结果
部分帮助该表指定与攻击模式相关的不同个人后果。该范围确定了违反的安全财产,而影响描述了如果对手在攻击中成功,就会产生负面的技术影响。其可能性提供了有关预期相对于列表中其他后果的特定后果的可能性的信息。例如,可能会有很高的可能性将模式用于实现一定的影响,但是将其利用以实现不同影响的可能性很小。
范围 影响 可能性
保密
读取数据
+缓解
1.使用空白索引。html:放置空白索引。
2.防止Apache Web服务器中使用.htaccess:in .htaccess,编写“ options-indexes”。
3.抑制错误消息:使用错误403“禁止”消息完全像错误404“未找到”消息。
+示例实例

对手使用目录列表来查看应用程序中的敏感文件。这是访问备份文件的一个示例。攻击向http://www.example.com/admin/提出了请求,并在响应中接收以下动态目录索引内容:/admin名称的索引最后修改大小的索引backup/31-may-2007 08:18--apache/ 2.0.55服务器www.example.com端口80

目标应用程序在普通HTML网页中没有直接与“备份”目录的超链接,但是由于索引内容,攻击者已经了解了此目录。然后,客户端请求备份目录URL,并接收其中包含“ db_dump.php”文件的输出。该敏感数据不应公开披露。
+分类映射
部分帮助CAPEC映射到ATT&CK技术利用继承模型来简化和最大程度地减少Direct Capec/ATT&CK映射。映射的继承通过文本表示,表明父级CAPEC具有相关的ATT&CK映射。请注意,ATT&CK Enterprise框架不使用继承模型作为映射CAPEC的一部分。
与ATT&CK分类法映射有关
条目ID 条目名称
1083 文件和目录发现
+参考
[Ref-11]“ WASC威胁分类2.0”。WASC -16-目录索引。Web应用程序安全联盟(WASC)。2010. <http://projects.webappsec.org/directory-indexing>。
+内容历史记录
提交
提交日期 提交者 组织
2014-06-23
(版本2.6)
 CAPEC内容团队 manbetx客户端首页
修改
修改日期 修饰符 组织
2015-11-09
(版本2.7)
 CAPEC内容团队 manbetx客户端首页
更新的引用,RELSSED_ATTACK_PATTERNS
2017-08-04
(版本2.11)
 CAPEC内容团队 manbetx客户端首页
更新的示例内置,相关的_vulnerabilities
2018-07-31
(版本2.12)
 CAPEC内容团队 manbetx客户端首页
更新的引用
2021-06-24
(版本3.5)
 CAPEC内容团队 manbetx客户端首页
更新相关的_WEAKNESS
提供更多信息 - 请选择其他过滤器。
页面最后更新或审查:2021年10月21日

使用公共攻击模式枚举和分类(CAPEC)以及本网站的相关参考使用条款。Capec由美国国土安全部(DHS)网络安全和基础设施安全局(CISA),由国土安全系统工程和开发研究所(HSSEDI)由manbetx客户端首页(MITER)。版权所有©2007–2023,Miter Comanbetx客户端首页rporation。CAPEC和CAPEC徽标是Miter Corporation的商标。manbetx客户端首页