 描述
敌人利用弱点目标迫使任意代码检索本地或从远程位置和执行。这不同于代码注入的代码注入涉及的直接包含代码,同时代码内容需要添加或更换代码文件的引用,随后加载的目标和使用一些应用程序代码的一部分。
攻击的可能性
典型的严重性
先决条件
| 目标应用程序必须包括外部代码/库执行应用程序运行时,对手必须能够影响到特定的文件,包括在内。 |
| 受害人必须运行目标应用程序,可能要使用精心制作的对手使用参数来识别需要包含的代码。 |
所需资源
| 敌人可能需要主机代码模块的能力,如果他们希望自己的代码文件包括在内。 |
例子,实例
| 这种类型的攻击模式的一个例子是PHP文件包括攻击包括()函数的参数设置的一个变量,攻击者能够控制。结果是,任意代码可以加载到PHP应用程序并执行。 |
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2017-05-01
(版本2.10) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Activation_Zone Attack_Prerequisites,描述总结,Examples-Instances Injection_Vector,有效载荷,Payload_Activation_Impact, Related_Weaknesses, Resources_Required Typical_Likelihood_of_Exploit |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
