Capec的新手?从这里开始
>CAPEC列表> CAPEC-222:IFRAME覆盖(版本3.9)

CAPEC-222:iframe覆盖
攻击模式ID:222
抽象:详细的
查看自定义信息:
+描述
在iframe覆盖攻击中,受害者被欺骗在不知不觉中在一个系统中启动某些动作,同时与UI似乎完全不同的系统进行交互。
+扩展描述

在登录到某些目标系统的同时,受害者访问了对手的恶意网站,该网站显示受害者希望与之互动的UI。实际上,iframe覆盖页面具有可见的UI上方的透明层,并具有对手希望受害者执行的动作控件。受害者点击他们在页面上看到的按钮或其他UI元素,实际上触发了透明覆盖层中的动作控件。根据该行动控制是什么,对手可能只是欺骗了受害者在受害者身份验证的目标系统中执行一些潜在的特权(也是最不受欢迎的)功能。这里的基本问题是,受害者认为他们正在点击的内容与他们实际点击的内容之间存在二分法。

+攻击的可能性

中等的

+典型的严重程度

高的

+关系
部分帮助该表显示了与此攻击模式相关的其他攻击模式和高级类别。这些关系定义为childof和parentof,并深入了解可能存在于较高和较低抽象水平的类似项目。此外,定义了诸如Canfollow,Peerof和Canalsobe之类的关系,以显示用户可能想要探索的类似攻击模式。
自然 类型 ID 名称
Childof 标准攻击模式标准攻击模式 - CAPEC中的标准水平攻击模式集中在攻击中使用的特定方法或技术上。它通常被视为完全执行的攻击的单一奇异部分。标准攻击模式旨在提供足够的细节,以了解特定技术以及如何实现所需目标。标准水平攻击模式是更抽象的元水平攻击模式的特定类型。 103 点击劫机
部分帮助该表显示了此攻击模式属于该视图中的最高级别类别的视图。
查看名称 顶级类别
攻击域 软件
攻击机制 进行欺骗性互动
+执行流
探索

  1. 制作一个iframe覆盖页:对手制作了一个恶意的iframe覆盖页。

    技术
    对手利用iframe覆盖功能来制作恶意的iframe覆盖页。
开发

  1. 对手欺骗受害者加载iframe覆盖页:对手利用某种形式的诱惑,误导或胁迫来欺骗受害者加载和与iframe覆盖页面进行互动,以增加受害者访问恶意页面的机会。

    技术
    通过向受害者发送带有URL的电子邮件到该网站的电子邮件,欺骗恶意遗址的受害者。
    通过操纵受害者信任的网站上的URL来欺骗恶意遗址的受害者。
    通过交叉站点的脚本攻击,欺骗恶意遗址的受害者。

  2. 欺骗受害者以所需的方式与iframe覆盖页面互动:对手欺骗受害者,点击包含隐藏动作控制的UI区域,从而与受害者的特权水平恶意与目标系统进行互动。

    技术
    隐藏操作控制对非常常用的功能。
    隐藏动作控制着非常诱人的内容。
+先决条件
受害者正在通过基于Web的UI而不是厚客户端与目标应用程序进行通信。受害人的浏览器安全政策允许iframe。受害者使用的现代浏览器支持UI元素(例如可点击按钮)(即不使用旧文本浏览器)。受害者与目标系统有积极的会议。目标系统的交互窗口在受害者的浏览器中打开,并支持代表目标系统中用户启动敏感操作的能力。
+所需技能
[级别:高]
制定适当的恶意遗址并吸引受害者进入该网站并不是一项琐碎的任务。
+需要资源
无:执行此类攻击不需要专门资源。
+结果
部分帮助该表指定与攻击模式相关的不同个人后果。该范围确定了违反的安全财产,而影响描述了如果对手在攻击中成功,就会产生负面的技术影响。其可能性提供了有关预期相对于列表中其他后果的特定后果的可能性的信息。例如,可能会有很高的可能性将模式用于实现一定的影响,但是将其利用以实现不同影响的可能性很小。
范围 影响 可能性
正直
修改数据
保密
读取数据
授权
执行未经授权的命令
问责制
验证
授权
非替代
获得特权
访问控制
授权
旁路保护机制
+缓解
配置:在Web浏览器中禁用IFRAME。
操作:使用特权目标系统维护经过身份验证的会话时,请勿使用相同的浏览器导航到不熟悉的站点以执行其他活动。在继续执行其他任务之前,先完成使用目标系统并首先注销。
操作:如果使用Firefox浏览器,请使用将有助于禁止IFRAME的NoScript插件。
+示例实例
以下示例是现实世界中的iframe覆盖攻击[2]。在此攻击中,恶意页面将Twitter.com嵌入透明的iframe上。使用恶意页面本身的URL初始化状态消息字段。为了引发单击,这是发布条目所必需的,恶意页面显示了一个标有“不要单击”的按钮。此按钮与Twitter的无形“更新”按钮对齐。用户执行单击后,状态消息(即,将恶意页面本身的链接)发布到其Twitter配置文件中。
+参考
[Ref-84] Michal Zalewski。“浏览器安全手册”。Google Inc.2008。<https://code.google.com/archive/p/browsersec/wikis/main.wiki>。
[Ref-85] M. Mahemoff。“解释“不要单击“ clickjacking tweetbomb”。她开发的软件。2009-02-12。<http://softwareas.com/explaining-the-dont-click-clickjacking-tweetbomb>。
+内容历史记录
提交
提交日期 提交者 组织
2014-06-23
(版本2.6)
 CAPEC内容团队 manbetx客户端首页
修改
修改日期 修饰符 组织
2017-08-04
(版本2.11)
 CAPEC内容团队 manbetx客户端首页
更新的Resources_required
2018-07-31
(版本2.12)
 CAPEC内容团队 manbetx客户端首页
更新的引用
2019-04-04
(版本3.1)
 CAPEC内容团队 manbetx客户端首页
更新相关的_WEAKNESS
2019-09-30
(版本3.2)
 CAPEC内容团队 manbetx客户端首页
更新相关的_attack_patterns
2020-07-30
(版本3.3)
 CAPEC内容团队 manbetx客户端首页
更新的描述,示例_instances
2022-09-29
(版本3.8)
 CAPEC内容团队 manbetx客户端首页
更新的描述,execution_flow,extended_description
提供更多信息 - 请选择其他过滤器。
页面最后更新或审查:2021年10月21日

使用公共攻击模式枚举和分类(CAPEC)以及本网站的相关参考使用条款。Capec由美国国土安全部(DHS)网络安全和基础设施安全局(CISA),由国土安全系统工程和开发研究所(HSSEDI)由manbetx客户端首页(MITER)。版权所有©2007–2023,Miter Comanbetx客户端首页rporation。CAPEC和CAPEC徽标是Miter Corporation的商标。manbetx客户端首页