 描述
敌人利用暂时的,不安全的存储的信息通过监测的内容文件用于存储临时数据在应用程序的常规执行流。许多应用程序使用临时文件来加快处理或提供的记录状态跨多个应用程序的执行。有时,然而,这些临时文件可能会存储敏感信息。通过检查应用程序的临时文件,对手可能会发现这样的敏感信息。例如,web浏览器经常加快后续查找缓存内容。如果内容包含敏感信息,那么对手可以恢复这从web缓存。
攻击的可能性
典型的严重性
执行流程
探索
在目标应用程序寻找临时文件:敌人将试图发现临时文件在目标应用程序。知识的临时文件被存储的信息是很重要的。
实验
尝试读取临时文件:敌人将尝试阅读任何临时文件他们可能发现通过正常手段。
| 技术 |
| 尝试把文件通过查询web服务器的文件路径 |
| 使用远程shell应用程序,读取远程临时文件和发送信息,如果必要的 |
| 临时恢复信息从用户的浏览器缓存 |
利用
使用功能的弱点获得临时文件:如果正常的临时文件,阅读意味着没有工作,敌人将尝试利用弱临时文件函数来获得临时文件。
| 技术 |
| 一些C函数如tmpnam (), tempnam(),和mktemp()将用一个惟一名称创建一个临时文件,但不阻止敌人之前创建一个同名文件的打开的应用程序。因为这些功能不创建足够随机的文件名,敌人将试图使相同名称的文件,导致碰撞,并可能改变文件权限的临时文件,以便它能够被阅读。 |
| 类似于过去的技术,敌人也会创建一个文件名称冲突使用链接文件在unix系统中,由应用程序写入临时文件内容写入一个文件的对手选择,允许他们阅读文件内容。 |
先决条件
| 目标应用程序必须使用临时文件,必须不能充分保障与其他各方阅读它们。 |
所需资源
| 因为一些应用程序可能有大量的临时文件和/或这些临时文件可能很大,敌人可能需要的工具,帮助他们快速搜索这些文件敏感信息。如果对手可以简单地复制文件到另一个位置,如果搜索的速度并不重要,对手仍然可以执行攻击没有任何特殊的资源。 |
分类法映射
 CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2017-01-09
(版本2.9) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2017-08-04
(版本2.11) |
CAPEC内容团队 |
manbetx客户端首页 |
| Injection_Vector Activation_Zone更新,描述总结,有效载荷,Payload_Activation_Impact, Related_Vulnerabilities, Resources_Required Typical_Likelihood_of_Exploit |
| 2019-04-04
(版本3.1) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Weaknesses |
| 2019-09-30
(版本3.2) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2020-07-30
(版本3.3) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2020-12-17
(版本3.4) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2021-10-21
(版本3.6) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Execution_Flow |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
