 描述
敌人操纵请求参数的内容为目的的破坏的安全目标。一些参数编码使用文本字符作为分隔符。例如,在一个HTTP GET消息编码参数名称-值对分离与字符(&)。如果攻击者可以提供文本字符串,用于填写这些参数,然后他们可以注射中使用特殊字符编码方案来添加或修改参数。例如,如果用户输入的是美联储直接进入一个HTTP GET请求,用户提供了价值“myInput&new_param = myValue”,然后输入参数设置为myInput,但是一项新的参数(new_param)也添加一个括号的价值。这可以显著改变查询的意义由服务器处理。任何参数的编码方案是由文本字符识别和分离可能容易受到这种攻击所使用的HTTP GET编码,以上只是一个例子。
攻击的可能性
典型的严重性
的关系
 此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
| 自然 |
类型 |
ID |
的名字 |
| ParentOf |
 标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 |
6 |
参数注入 |
| ParentOf |
标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 |
15 |
命令分隔符 |
| ParentOf |
标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 |
134年 |
电子邮件注入 |
| ParentOf |
标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 |
135年 |
格式字符串注入 |
| ParentOf |
标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 |
138年 |
反射注入 |
| ParentOf |
标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 |
182年 |
Flash注入 |
此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。
先决条件
| 目标应用程序必须使用一个参数编码标识符分隔符和参数表达的普通文本。 |
| 目标应用程序必须接受一个字符串作为用户输入,无法清洁字符中有特殊意义的参数编码,并插入用户提供的字符串的编码处理。 |
所需资源
| 没有:不需要专门的资源来执行这种类型的攻击。唯一的要求是能够提供字符串输入到目标。 |
后果
这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
缓解措施
| 实现一个审计日志写入到一个单独的主机。在发生妥协,审计日志可以提供证据和细节的妥协。 |
| 对所有用户输入不可信的数据,必须在使用前进行验证。 |
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2017-05-01
(版本2.10) |
CAPEC内容团队 |
manbetx客户端首页 |
| Injection_Vector Activation_Zone更新,Attack_Motivation-Consequences、描述总结,有效载荷,Payload_Activation_Impact, Resources_Required, Solutions_and_Mitigations Typical_Likelihood_of_Exploit |
| 2017-08-04
(版本2.11) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Resources_Required |
| 2019-04-04
(版本3.1) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述,Related_Weaknesses |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
