 描述
攻击者试图调用所有常见的开关和选择目标应用程序中发现的弱点目标的目的。例如,在某些应用程序中,添加一个调试开关会导致显示调试信息,有时可以揭示敏感处理或配置信息攻击者。这种攻击不同于其他形式的API滥用,攻击者是不加区别地试图调用选项,希望其中一个工作而不是专门针对已知的选择。尽管如此,即使攻击者熟悉目标应用程序的发布选项这种攻击方法可能仍然是富有成效的,因为它可能发现未公布的功能。
典型的严重性
执行流程
探索
确定应用程序:发现感兴趣的应用程序通过探索服务注册上市或通过连接端口或一些类似的意思。
| 技术 |
| 通过网络搜索,发布应用程序,允许选择开关。 |
| 使用自动化工具来扫描已知端口识别可能访问的应用程序 |
验证应用程序:验证应用程序,如果需要,为了探索它。
| 技术 |
| 使用出版的凭证访问系统。 |
| 发现未credentails访问服务。 |
| 使用其他攻击模式或弱点绕过身份验证。 |
实验
尝试所有常见的开关:使用人工或自动手段,尝试运行应用程序与许多不同的已知常见的开关。观察输出任何开关似乎把应用程序是否在一个非生产模式,可能会给更多的信息。
| 技术 |
| 手动执行应用程序等开关,调试,测试,开发,详细,等等。 |
| 使用自动化工具来运行应用程序与普通开关,观察输出 |
利用
使用敏感处理或配置信息:一旦观察到额外的信息从应用程序通过使用一个共同的开关,此信息用于援助其他攻击应用程序
先决条件
所需资源
| 没有:不需要专门的资源来执行这种类型的攻击。唯一的要求是发送请求到目标的能力。 |
缓解措施
| 设计:最小化所需的开关,只选择功能的正确功能命令。 |
| 实现:删除所有选项从生产调试和测试代码。 |
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2015-12-07
(版本2.8) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2017-08-04
(版本2.11) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Resources_Required |
| 2019-04-04
(版本3.1) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Weaknesses |
| 2020-07-30
(版本3.3) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2021-06-24
(版本3.5) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述 |
| 2021-10-21
(版本3.6) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Execution_Flow |
| 以前的条目名称 |
| 改变日期 |
以前的条目名称 |
| 2015-12-07
(版本2.8) |
尝试所有常见的应用程序开关和选项 |
|
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
