 描述
敌人创建一个客户机应用程序与目标服务接口的客户服务使客户违反假设。服务有指定客户机应用程序(而不是使用通用客户端应用程序的服务,如IMAP或流行的邮件服务器可以与任何IMAP或POP客户机)可能假定客户端将遵循特定程序。
扩展描述
例如,服务器可能认为客户会准确地计算值(如价格),将发送正确的结构化信息,将试图确保高效与服务器交互。通过逆向工程客户和创造他们自己的版本,敌人可以利用这些假设滥用服务功能。
例如,购买服务可能会发送单价给客户,希望客户正确地计算购买的总成本。如果对手使用恶意客户端,然而,对手可以忽略服务器输入和声明任何总价格。同样,敌人可以配置客户端保留网络或其他服务器资源超过合理必要为了降低服务器性能。甚至服务与一般客户可以容易受到这种攻击如果他们认为某些客户端行为。然而,这些服务通常会犯更少的假设的行为他们的客户在第一时间,因此,不太可能做出假设,敌人可以利用。
典型的严重性
先决条件
| 有针对性的服务必须假设的行为交互的客户机应用程序,这可以被敌人。 |
所需资源
| 敌人必须能够逆向工程的一个客户有针对性的服务。然而,对手不需要逆向工程所有客户端功能——他们只需要重新创建足够的功能访问所需的服务器功能。 |
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2019-04-04
(版本3.1) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2022-02-22
(版本3.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述,Extended_Description |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
