 描述
攻击者发送一系列的探测web应用程序为了引出version-dependent和泛型类型的行为,协助确定目标。攻击者可以了解各种信息,比如软件版本错误页面,和响应头的变化实现HTTP协议,目录结构,和其他类似的有关目标服务的信息。这些信息可以被攻击者用来制定有针对性的攻击计划。虽然web应用指纹并不是破坏性的(虽然某些活动,如网络扫描,有时会导致破坏脆弱的应用程序无意中)它可能经常为更具破坏性的攻击。
攻击的可能性
典型的严重性
执行流程
探索
请求指纹识别:使用自动化工具或web服务器特定的命令发送到web服务器,等待服务器的响应。
| 技术 |
| 使用自动化工具或发送web服务器,然后web服务器特定命令接收服务器响应。 |
实验
增加Web服务器的服务器指纹识别的准确性:攻击者通常需要发送几个不同的命令来准确地识别web服务器。攻击者也可以使用自动化工具来发送请求到服务器。服务器的响应可能不同的协议的行为。
| 技术 |
| 观察几个HTTP响应头的顺序。每个服务器的标题的顺序可能有独特的身份。 |
| 发送坏的请求或向服务器请求不存在的页面。 |
| 攻击者需要现有的自动化工具识别的类型和使用的版本的web服务器。 |
识别Web应用软件:web服务器平台软件已被确认后,攻击者开始识别web应用程序技术,如ASP、。net、PHP和Java服务器上。
| 技术 |
| 检查文件扩展名的URL,例如。PHP显示PHP脚本界面上的Apache服务器。 |
| 检查HTTP响应头。这可能泄漏信息软件签名 |
| 检查可能包含服务器的软件信息的cookie。 |
| 检查错误页面。 |
确定后端数据库版本:确定数据库引擎类型可以帮助成功执行SQL注入攻击者的尝试。ODBC等一些数据库API将显示一个数据库类型的司机信息在报告一个错误。
| 技术 |
| 使用工具将虚假的SQL查询发送到服务器并检查错误页面。 |
先决条件
| 任何web应用程序可以“数字指纹”了。然而,一些配置选项可以限制一个攻击者可能收集有用的信息在指纹识别攻击。 |
技能要求
|
(等级:低) 攻击者知道如何发送HTTP请求,一个web应用程序的SQL查询。 |
所需资源
| 而简单的指纹可以实现只有一个web浏览器,更彻底的指纹识别攻击者需要各种各样的工具来收集有关目标的信息。这些工具可能包括协议分析器,网站爬虫,起毛的工具。足迹充分服务可能还需要几天,如果攻击者希望足迹试图不被发现。 |
后果
 这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
缓解措施
| 实现:使服务器的HTTP响应。 |
| 实现:隐藏内心的HTTP响应头的顺序。 |
| 实现:定制HTTP错误代码,如404年或500年。 |
| 实现:URL隐藏文件扩展名。 |
| 实现:隐藏HTTP响应头的软件信息。 |
| 实现:隐藏饼干的软件信息。 |
| 实现:适当地处理错误消息。 |
| 实现:混淆数据库类型的数据库API的错误消息。 |
例子,实例
攻击者发送畸形或请求不存在的页面到服务器的请求。考虑下面的HTTP响应。 响应来自Apache 1.3.23
数控apache.server.com美元
80 / HTTP / 3.0
HTTP / 1.1 400错误请求
日期:太阳,格林尼治时间2003年6月15日十七12:37
服务器:Apache / 1.3.23
连接:关闭
传输:分块
内容类型:text / HTML;charset = iso - 8859 - 1 IIS 5.0的回应
数控iis.server.com 80美元
/ HTTP / 3.0
HTTP / 1.1 200 OK
服务器:microsoft iis / 5.0
内容定位:http://iis.example.com/Default.htm
时间:星期五,格林尼治时间1999年1月1日20:14:02
内容类型:text / HTML
last - modified Accept-Ranges:字节:星期五,1999年1月1日20:14:02格林尼治时间
ETag: W / e0d362a4c335be1: ae1
内容长度:133 (REF-37] |
分类法映射
CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
引用
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2015-11-09
(版本2.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Attack_Phases |
| 2015-12-07
(版本2.8) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Attack_Phases |
| 2017-01-09
(版本2.9) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Attack_Phases |
| 2017-05-01
(版本2.10) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Attack_Phases |
| 2017-08-04
(版本2.11) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Attack_Phases |
| 2018-07-31
(版本2.12) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Attack_Phases,引用 |
| 2019-04-04
(版本3.1) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Weaknesses |
| 2020-07-30
(版本3.3) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Example_Instances |
| 2022-09-29
(版本3.8) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Example_Instances |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
