capec - 261:起毛获得其他相邻用户/敏感数据 |
 描述
敌人是谁授权将查询发送到预期的目标发送变异查询,希望这些修改查询可能返回信息通过错误日志(直接或间接)应提供超出预期的查询。
扩展描述
许多客户端应用程序与服务器交互时使用特定查询模板,常常自动填写特定的字段或属性。如果服务器不验证查询匹配预期的模板之一,敌人是谁允许发送正常查询可以修改查询试图返回额外的信息。敌人可能不知道的名字字段请求或其他修改将如何影响服务器响应,但通过尝试多个合理的变体,他们可能最终引发服务器响应,泄露敏感信息。其他可能的结果包括服务器崩溃和资源消耗,如果意外查询导致服务器进入不稳定状态或执行过度的计算。
典型的严重性
执行流程
探索
观察沟通和输入:起毛对手观察目标系统寻找输入和模块之间的通信,子系统或系统。
| 技术 |
| 网络嗅探。使用网络嗅探器,如wireshark对手观察通信的目标系统。 |
| 监控API执行。使用工具,如ktrace strace, APISpy,或另一个调试工具,观察系统调用和对手由目标系统的API调用,和它们的参数的性质。 |
| 观察输入使用web检查工具(OWASP WebScarab, Paros、TamperData TamperIE,等等)。 |
实验
春光生成输入:起毛的工具,一个目标输入或协议,和限制时间,复杂性,和输入,生成一个输入列表。尽管起毛是随机的,它并不详尽。参数长度等成分,有多少变化尝试重要从fuzzer最具成本效益的影响。
| 技术 |
| 边界情况。生成攻击边界的模糊输入情况下的协议字段,输入,或其他通信限制。例子包括0 xff和0 x00单字节输入。在二进制情况下,单个领域的方法每一位与开关(例如,0 x80)。 |
| 尝试系统调用的参数或api。包括有效载荷的变化,如果他们成功了,可能导致系统上妥协。 |
观察结果:观察输出输入fuzz送入系统,看看是否有任何日志或错误消息,提供用户/敏感数据或给一个预期的模板信息,可以用来产生这些数据。
利用
工艺利用载荷:如果日志并没有透露任何用户/敏感数据,敌人将试图使起毛输入表单模板
| 技术 |
| 创建变体预期模板,请求更多的信息 |
| 创建变体,排除限制条款 |
| 创建变量,改变字段:识别请求者为了颠覆访问控制 |
| 重复不同的变异起毛,直到敏感信息泄露 |
先决条件
| 服务器必须假定遵循特定的模板和/或接收查询字段或属性,遵循特定的程序。服务器必须处理查询,它接收没有充分检查或消毒查询,以确保他们遵循这些模板。 |
所需资源
| 攻击者必须有足够的权限将查询发送到目标服务器。正常的客户可能会限制这些查询的性质,所以攻击者必须有一个修改客户或他们的自己的应用程序,允许他们修改预期的查询。 |
例子,实例
客户端查询雇员数据库可能模板,用户只供应目标的名称和模板规定返回的字段(位置、位置在公司电话号码,等等)。如果服务器不验证查询匹配预期的模板之一,攻击者是谁允许发送正常查询可以修改查询试图返回额外的信息。对于这个示例,可能包括社会安全号码或工资的额外信息。 |
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2015-11-09
(版本2.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2019-04-04
(版本3.1) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Weaknesses |
| 2020-12-17
(版本3.4) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述,Example_Instances |
| 2021-10-21
(版本3.6) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述,Execution_Flow |
| 2022-02-22
(版本3.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述,Extended_Description |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
