描述
敌人利用能力来执行自己的脚本通过嵌入在其他脚本,目标软件可能会执行,由于程序的漏洞,允许远程主机执行脚本。
扩展描述
敌人必须能够注入他们的脚本可能会执行一个脚本,该脚本。如果这样做,那么对手可能会推出各种探测和攻击web服务器的本地环境,在许多情况下,所谓的DMZ, web服务器可以与后端资源,和其他主机。随着中介机构,如Web应用防火墙、网络设备、甚至打印机在jvm和Web服务器,在许多地区,敌人可以注入恶意脚本。因为这种攻击模式在脚本中定义脚本,可能有特权来执行攻击宿主说。这些攻击并不仅仅局限于服务器端,客户端脚本Ajax和JavaScript客户端可以包含恶意脚本。
攻击的可能性
典型的严重性
执行流程
探索
蜘蛛: 使用浏览器或一个自动化工具,敌人记录输入的所有入口点,反映在客户端脚本元素。这些脚本元素可以位于HTML内容(头、身体、评论),在HTML标签,XML、CSS等等。
技术
使用搜索工具跟踪和记录所有非静态链接可能有输入参数(通过形式、URL、碎片等)积极使用的Web应用程序。
使用一个代理工具来记录所有的链接访问web应用程序的手册中遍历。
网站使用浏览器手动探索和分析它是如何构建的。许多浏览器的插件可以促进分析或自动发现。
实验
XSS漏洞探测识别潜在入口点: 对手使用入口点聚集在“探索”阶段作为目标列表和注入各种常见脚本载荷可以确定一个入口点实际上代表一个脆弱和描述在多大程度上可以利用的漏洞。
技术
手动注入各种脚本载荷每个确定入口点使用的公共脚本注入探针通常工作在客户端脚本元素上下文和观察系统行为来确定脚本被执行死刑。
手动注入各种脚本载荷每个确定入口点使用的公共脚本注入探针通常工作在一个服务器端脚本元素上下文和观察系统行为来确定脚本被执行死刑。
使用一个自动注入攻击工具注入各种脚本载荷每个确定入口点使用的公共脚本注入探针通常工作在客户端脚本元素上下文和观察系统行为来确定脚本被执行死刑。
使用一个自动注入攻击工具注入各种脚本载荷每个确定入口点使用的公共脚本注入探针通常工作在一个服务器端脚本元素上下文和观察系统行为来确定脚本被执行死刑。
使用一个代理工具记录创建请求的结果。
利用
窃取会话id,凭证、页面内容等。 对手成功地利用该漏洞,他们可以选择窃取用户的凭证,以便重用或分析。
技术
开发恶意JavaScript,注入通过向量确定了在实验阶段和加载受害者的浏览器和文档信息发送给对手。
开发恶意JavaScript,注入通过向量确定在实验阶段和需要命令从敌人的服务器,然后导致浏览器执行适当。
有力的浏览: 当对手目标当前应用程序或另一个(通过CSRF漏洞),用户将被人在毫不知情的情况下完成攻击。这些攻击主要是针对应用程序逻辑缺陷,但它也可以用来创建一个广泛的攻击一个特定的网站用户的当前网络(互联网)。
技术
开发恶意JavaScript,注入通过向量确定在实验阶段和由受害者的浏览器加载并执行操作在同一个网站
开发恶意JavaScript,注入通过向量确定在实验阶段和需要命令从敌人的服务器,然后导致浏览器执行请求其他网站(尤其是CSRF漏洞的web应用程序)。
内容欺骗: 通过操作内容,敌人的目标用户想要的信息的网站。
技术
开发恶意JavaScript,注入通过向量确定了在实验阶段和加载受害者的浏览器和暴露adversary-modified无效信息用户对当前web页面。
先决条件
目标软件必须能够执行脚本,也给予对手特权写/上传脚本。
技能要求
(等级:低)
恶意脚本加载到开放,如人人可写的目录
(级别:中等)
主机上执行远程脚本和收集输出
后果
这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
范围
影响
可能性
保密
完整性
可用性
执行未经授权的命令
保密
访问控制
授权
获得特权
缓解措施
使用浏览器技术,不允许客户端脚本。
利用严格的类型、字符和编码执行。
服务器端开发人员不应该通过XHR代理内容或其他方式。如果一个HTTP代理远程内容设置在服务器端,客户端浏览器无法识别数据来自的地方。
确保所有内容交付给客户是消毒与一个可接受的内容规范。
执行所有远程内容的输入验证。
为所有远程内容执行输出验证。
在浏览器中禁用脚本语言JavaScript等
会话令牌为特定的主机
修补软件。有很多对XSS攻击向量在客户端和服务器端。许多浏览器漏洞被固定在服务包,web服务器、和插入技术,保持当前处理XSS对策,缓解了这一补丁发布。
权限限制,如果加载脚本,确保系统运行在chroot监狱或其他有限的权力模式
例子,实例
Ajax应用程序启用丰富功能基于浏览器的web应用程序。应用程序(如Google Maps提供前所未有的能力放大和缩小,滚动图片,并通过Ajax变化图示。安全问题,敌人可能利用在这个例子中是相对缺乏安全特性在JavaScript和各种JavaScript的浏览器的实现,这些安全漏洞是XSS和许多其他客户端漏洞是基于。虽然Ajax可能不开辟新的安全漏洞,本身,由于Ajax的客户端和服务器之间的会话方面沟通,可以优化的攻击。一放大或缩小图形在Ajax应用程序可以向服务器往返几十次。许多对手采取的第一个步骤是经常足迹的环境,这包括扫描本地地址192。*。*。* IP地址,检查本地目录、文件和设置为已知的漏洞,等等。
< IMG SRC = javascript:警报(XSS) >
XSS脚本是嵌入在一个给定的IMG标记可以操纵探针的不同地址每次点击鼠标或其他Ajax应用程序知道的动作。
此外,枚举允许敌人巢穴时序逻辑的攻击。虽然Ajax应用程序不开放全新的攻击向量,现有的攻击向量更适用于执行攻击,现在这些攻击可以优化顺序执行和列举主机环境。
~ /。bash_profile和~ /。bashrc在用户执行的上下文(当一个新的外壳打开或当用户登录,以便正确地设置他们的环境。~ /。bash_profile登录shell和~ /执行。bashrc是交互式的shell执行。(这意味着,当用户登录(通过用户名和密码)到控制台(本地或远程通过SSH之类),~ /。bash_profile执行最初的命令提示符之前返回给用户。在那之后,每次打开一个新的壳,~ /。bashrc是(执行。这允许用户更细粒度的控制,当他们想要执行某些命令。这些文件是本地用户写入的配置自己的环境; however, adversaries can also insert code into these files to gain persistence each time a user logs in or opens a new shell.
分类法映射
CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
相关ATT&CK分类法映射
内容的历史
提交
提交日期
提交者
组织
2014-06-23
(版本2.6)
CAPEC内容团队
manbetx客户端首页
修改
修改日期
修饰符
组织
2017-05-01
(版本2.10)
CAPEC内容团队
manbetx客户端首页
Attack_Prerequisites更新,描述总结,参考,Related_Attack_Patterns, Related_Weaknesses, Resources_Required Solutions_and_Mitigations
2017-08-04
(版本2.11)
CAPEC内容团队
manbetx客户端首页
更新描述总结
2018-07-31
(版本2.12)
CAPEC内容团队
manbetx客户端首页
更新Examples-Instances,引用
2020-07-30
(版本3.3)
CAPEC内容团队
manbetx客户端首页
更新描述、Execution_Flow Taxonomy_Mappings
2022-02-22
(版本3.7)
CAPEC内容团队
manbetx客户端首页
更新描述、Example_Instances Execution_Flow Extended_Description
2022-09-29
(版本3.8)
CAPEC内容团队
manbetx客户端首页
更新Example_Instances
2023-01-24
(版本3.9)
CAPEC内容团队
manbetx客户端首页
更新Taxonomy_Mappings
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
