 描述
敌人攻击的弱点在服务器的信任客户端处理通过在客户端修改数据,如价格信息,然后将这些数据提交给服务器,修改后的数据进行处理。例如,eShoplifting数据操作攻击网上商人在采购事务。操纵价格,折扣或数量事务消息中的字段允许对手收购项目以较低的成本比商人的目的。对手执行正常的采购事务,但在HTML表单隐藏字段编辑响应存储价格或其他信息给自己一个更好的交易。然后商人使用修改后的价格信息在计算选定项目的成本。
典型的严重性
执行流程
探索
调查目标web应用程序:对手第一个探测目标web应用程序找到所有可能的页面可以访问在网站上。
| 技术 |
| 使用搜索工具和记录所有的链接 |
| 使用一个代理工具来记录所有的链接访问web应用程序的手册中遍历。 |
找到隐藏字段:一旦web应用程序已经遍历,对手查找所有隐藏的HTML字段出现在客户端。
| 技术 |
| 在所有现代浏览器上使用检查工具和过滤关键字“隐藏” |
| 专门寻找隐藏字段在表单元素。 |
实验
服务器端发送修改隐藏字段:一旦对手在客户端发现隐藏字段,他们会一个接一个地修改这些隐藏字段的值,然后与web应用程序交互,这些数据被发送到服务器端。敌人发现服务器的响应来确定每个隐藏字段的值被验证。
利用
操作隐藏字段:一旦对手决定隐藏字段未被验证的服务器,他们将操作改变web应用程序的正常行为,有利于对手。
| 技术 |
| 操纵一个隐藏字段在表单元素,然后提交表单,以便操纵数据发送到服务器。 |
先决条件
| 有针对性的网站必须包含隐藏字段进行修改。 |
| 目标站点不能验证隐藏字段与后端处理。 |
所需资源
| 敌人必须能够修改隐藏字段通过编辑HTTP响应服务器。 |
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2015-12-07
(版本2.8) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2017-01-09
(版本2.9) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2017-08-04
(版本2.11) |
CAPEC内容团队 |
manbetx客户端首页 |
| Attack_Prerequisites更新,描述总结,Resources_Required |
| 2022-02-22
(版本3.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Execution_Flow |
| 以前的条目名称 |
| 改变日期 |
以前的条目名称 |
| 2015-12-07
(版本2.8) |
操纵隐藏字段改变交易的正常流动(eShoplifting) |
|
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
