 描述
敌人供应一个值到目标应用程序然后反射方法用来确定一个类,方法,或字段。例如,在Java编程语言反映库允许应用程序检查,加载和调用类及其组件的名字。如果一个对手可以控制输入这些方法包括类/方法/字段的名称或传递给方法的参数,会导致目标应用程序调用错误的方法,阅读随机领域,甚至加载和利用恶意的类创建的对手。这可能导致应用程序暴露敏感信息,返回不正确的结果,甚至让对手控制目标应用程序。
典型的严重性
先决条件
| 目标应用程序必须使用反射库和允许用户直接控制这些方法的参数。如果对手可以目标主机类可以调用它们,更强大的变异的这种攻击是可能的。 |
| 目标应用程序必须接受一个字符串作为用户输入,无法清洁字符中有特殊意义的参数编码,并插入用户提供的字符串的编码处理。 |
所需资源
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2017-08-04
(版本2.11) |
CAPEC内容团队 |
manbetx客户端首页 |
| Attack_Prerequisites更新,描述总结,Resources_Required |
| 2019-04-04
(版本3.1) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新的先决条件 |
| 2019-09-30
(版本3.2) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2023-01-24
(版本3.9) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Weaknesses |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
