 描述
一些api支持脚本指令作为参数。方法采取脚本指令(或引用脚本指令)可以非常灵活的和强大的。然而,如果攻击者可以指定的脚本作为输入这些方法他们可以获得大量的功能。例如,HTML页面支持脚本< >标签允许嵌入在页面脚本语言,然后被接收web浏览器。如果恶意内容提供者,这些脚本可以妥协的客户端应用程序。一些应用程序可能执行的脚本在他们自己的身份(而不是用户的身份提供脚本)允许攻击者可以执行活动,否则将被拒绝。
典型的严重性
执行流程
探索
确定API:发现探索应用程序感兴趣的一个API的文档或观察反应API调用
| 技术 |
| 通过网络搜索,发布api,支持脚本指令作为参数 |
实验
测试简单的脚本:敌人将试图给出一个小脚本作为输入到API,比如简单地打印到控制台,攻击是否可行。
利用
给恶意脚本指令API:敌人将工艺定制脚本做恶意行为。取决于应用程序的设置这个脚本可以运行用户或管理员特权级别。
先决条件
| 目标应用程序必须包括执行脚本的使用的api。 |
| 目标应用程序必须允许攻击者提供一些或所有这些脚本的参数解释方法和必须未能充分过滤这些理由危险或多余的脚本命令。 |
所需资源
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2015-12-07
(版本2.8) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述总结 |
| 2017-08-04
(版本2.11) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Resources_Required |
| 2019-04-04
(版本3.1) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Weaknesses |
| 2020-07-30
(版本3.3) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2021-10-21
(版本3.6) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Execution_Flow |
| 以前的条目名称 |
| 改变日期 |
以前的条目名称 |
| 2015-12-07
(版本2.8) |
包括基于脚本api编程 |
|
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
