描述
攻击者创建一个假的但功能会话证书为了获得或篡夺访问服务。会话凭证后服务允许用户把自己最初的身份验证,而不需要重新发送验证信息(通常是一个用户名和密码)每条消息。如果攻击者能够建立有效的会话凭证可以绕过身份验证或利用其他一些经过身份验证的用户的会话。这种攻击不同于会话id的重用和会话Sidejacking攻击在后者的攻击,攻击者使用一个先前的或现有的凭证没有修改,在伪造攻击,攻击者必须创建自己的证书,虽然它可能是基于先前观察到的凭证。
攻击的可能性
典型的严重性
的关系
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
自然 |
类型 |
ID |
的名字 |
ChildOf |
元在CAPEC攻击模式——元级别攻击模式的量化无疑是一个抽象的描述一个特定的方法或技术用于攻击。元攻击模式往往是空虚的一个特定的技术或实现,旨在提供一个高水平的理解方法。元级攻击模式是一个泛化的攻击模式相关的标准水平。元级攻击模式尤其适用于架构和设计水平的威胁建模练习。 |
21 |
利用可信标识符 |
ParentOf |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
59 |
通过预测会话证书造假 |
ParentOf |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
226年 |
通过操纵会话证书造假 |
CanPrecede |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
61年 |
会话固定 |
CanPrecede |
标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 |
384年 |
应用程序API消息通过中间人处理 |
此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。
执行流程
探索
分析和理解会话id:攻击者发现,目标应用程序使用会话识别合法用户凭证。
技术 |
攻击者使许多匿名连接和记录会话id。 |
攻击者使授权连接和会话令牌或凭证记录。 |
实验
创建会话id。袭击者工艺信息包含他们的伪造的证件,POST请求,HTTP标头或甜点。
技术 |
攻击者操纵HTTP请求消息并添加他们伪造的会话id的请求或饼干。 |
利用
虐待受害者的会话凭证:攻击者注视伪造会话ID时受害者受害者访问系统。一旦受害者取得更高层次的特权,可能通过登录到应用程序中,攻击者可以接管会话使用伪造的会话标识符。
技术 |
攻击者将预定义的或预测的会话ID加载到受保护的数据或功能的浏览器和浏览。 |
攻击者将预定义的或预测的会话ID加载到他们的软件和使用功能与受害者的权利。 |
先决条件
目标应用程序必须使用会话识别合法用户凭证。会话标识符,特权级别变化时保持不变。可预测的会话标识符。 |
技能要求
所需资源
攻击者可能需要的工具工艺信息含有伪造的证件,和发送HTTP请求到一个web应用程序的能力。 |
后果
这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
范围 |
影响 |
可能性 |
完整性 |
修改数据 |
|
保密 |
读取数据 |
|
授权 |
执行未经授权的命令 |
|
问责制
身份验证
授权
不可抵赖性 |
获得特权 |
|
访问控制
授权 |
旁路保护机制 |
|
缓解措施
实现:使用会话id很难猜测或强力:攻击者获得有效的会话id的方法之一是通过蛮力或猜测。通过选择足够随机会话标识符,蛮力或猜测变得非常困难。 |
实现:再生和销毁会话标识符当有特权的水平的变化:这可以确保即使一个潜在的受害者可能与固定标识符之后,一个新的时发出的特权级别的变化。 |
例子,实例
这个示例使用客户端脚本设置在受害者的浏览器会话ID。JavaScript代码
。= " sessionid = 0123456789 " 注视一个伪造会话证书在受害者的浏览器,在精心设计的帮助下一个URL链接。
http://www.example.com/ <脚本>。=“sessionid = 0123456789”; > < /脚本 一个类似的示例使用会话ID作为参数的URL。
http://www.example.com/index.php/sessionid=0123456789 一旦受害者点击链接,攻击者可以绕过身份验证或利用其他身份验证的受害者的会话。 |
分类法映射
CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
引用
内容的历史
提交 |
提交日期 |
提交者 |
组织 |
2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
修改 |
修改日期 |
修饰符 |
组织 |
2018-07-31
(版本2.12) |
CAPEC内容团队 |
manbetx客户端首页 |
更新的引用 |
2019-04-04
(版本3.1) |
CAPEC内容团队 |
manbetx客户端首页 |
更新后的后果,Related_Attack_Patterns Related_Weaknesses |
2020-07-30
(版本3.3) |
CAPEC内容团队 |
manbetx客户端首页 |
更新Execution_Flow |
2022-09-29
(版本3.8) |
CAPEC内容团队 |
manbetx客户端首页 |
更新Example_Instances Taxonomy_Mappings |
|