描述
敌人嵌入恶意脚本代码查询字符串参数的HTTP和说服受害者提交HTTP请求包含查询字符串,一个脆弱的web应用程序。然后web应用程序支持使用参数的值不正确验证他们首先将执行并生成的HTML代码,在受害者的浏览器。
攻击的可能性
典型的严重性
的关系
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
自然
类型
ID
的名字
ChildOf
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 588年
基于dom的XSS
ChildOf
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 591年
反映XSS
ChildOf
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 592年
存储XSS
此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。
执行流程
探索
调查申请公开链接: 使用浏览器或一个自动化工具,敌人之前所有公共网站的链接。他们发现他们记录所有的链接。
技术
使用搜索工具和记录所有的链接。特别注意任何链接,包括参数的URL。
使用一个代理工具来记录所有的链接访问web应用程序的手册中遍历。特别注意任何链接,包括参数的URL。这种类型的手工遍历经常需要识别形式GET方法而不是POST形式形式。
网站使用浏览器手动探索和分析它是如何构建的。许多浏览器的插件可以促进分析或自动发现的URL。
实验
调查公众对XSS漏洞链接: 对手使用公共聚集在“探索”的链接阶段目标和要求的变化在他们之前爬虫的url。他们发送参数,包括有效载荷的变化。他们记录所有来自服务器的响应,包括修改的版本的脚本。
技术
使用XSS探针的列表字符串注入参数已知的url。如果可能的话,探测器字符串包含一个惟一的标识符。
使用一个代理工具记录结果XSS探针的手工输入url。
工艺恶意XSS URL: 一旦对手确定哪些参数是容易受到XSS,他们将工艺包含XSS攻击的恶意URL。敌人可以有许多目标,从窃取会话id,饼干,凭据和页面内容的受害者。
技术
改变一个URL参数包含恶意脚本标签。
从恶意脚本收集的信息发送到远程端点。
利用
让受害者点击网址: 为了成功的攻击,受害者需要访问恶意URL。
技术
网络钓鱼电子邮件发送到包含恶意URL的受害者。这可以隐藏在一个超链接不显示完整的URL,这可能会引起怀疑。
把恶意URL放在一个公共论坛,很多受害者可能会意外地点击链接。
先决条件
目标客户端软件必须允许诸如JavaScript脚本。远程的服务器软件必须允许显示生成的HTML没有足够的输入或输出验证。
技能要求
(等级:低)
将恶意代码通过HTTP服务器
(级别:高)
利用HTTP查询脚本主机上收集的任何信息
所需资源
后果
这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
范围
影响
可能性
保密
读取数据
保密
完整性
可用性
执行未经授权的命令
缓解措施
设计:使用浏览器技术,不允许客户端脚本。
设计:利用严格的类型、字符和编码执行
设计:服务器端开发人员不应该通过XHR代理内容或其他方式,如果一个http代理远程内容设置在服务器端,客户端浏览器无法识别数据来自的地方。
实现:确保所有内容交付给客户是消毒与一个可接受的内容规范。
实现:对所有远程执行输入验证内容,包括远程和用户生成内容
实现:对所有远程执行输出验证的内容。
实现:在浏览器中禁用脚本语言JavaScript等
实现:会话令牌为特定的主机
实现:修补软件。有很多对XSS攻击向量在客户端和服务器端。许多浏览器漏洞被固定在服务包,web服务器、和插入技术,保持当前处理XSS对策,缓解了这一补丁发布。
实现:权限限制,如果加载脚本,确保系统运行在chroot监狱或其他有限的权力模式
例子,实例
脚本http://user: host@example.com: 8080 / oradb < >警报(“嗨”)> < /脚本
Web应用程序接受一个HTTP查询字符串的名称值对风险本质上是任何值(或名称),敌人想进入查询字符串。这可以通过web浏览器或手动完成脚本发布多个站点的查询字符串。在后一种情况下,很多网站使用类似的实例与可预见的http查询被接受和运营基础设施(如博客软件,谷歌应用程序,等等),一个恶意负载可以照本宣科针对各种各样的网站。
Web 2.0网站Technorati和del.icio等类型。我们依靠用户生成的内容,如标记构建http链接显示给其他用户。del.icio。我们允许用户识别网站,用元数据,并提供URL,描述和更多的数据。这些数据然后回应回其他感兴趣的链接的web浏览器。如果数据不是由del.icio验证。我们网站正常然后任意代码可以被添加到标准http送到del.icio字符串。我们的对手,例如正常格式化的内容和一个URL和描述标记为Java,并且可以点击()和执行任何用户浏览Java内容点击这个木马。
引用
[REF-1] g·霍格伦德和g·麦格劳。“利用软件:如何打破代码”。addison - wesley。2004 - 02。
内容的历史
提交
提交日期
提交者
组织
2014-06-23
(版本2.6)
CAPEC内容团队
manbetx客户端首页
修改
修改日期
修饰符
组织
2015-11-09
(版本2.7)
CAPEC内容团队
manbetx客户端首页
更新Attack_Phases
2015-12-07
(版本2.8)
CAPEC内容团队
manbetx客户端首页
更新Attack_Phases
2017-01-09
(版本2.9)
CAPEC内容团队
manbetx客户端首页
更新Attack_Phases
2017-05-01
(版本2.10)
CAPEC内容团队
manbetx客户端首页
Attack_Phases更新,描述总结,Related_Attack_Patterns Related_Weaknesses
2017-08-04
(版本2.11)
CAPEC内容团队
manbetx客户端首页
更新Attack_Phases
2018-07-31
(版本2.12)
CAPEC内容团队
manbetx客户端首页
更新Attack_Phases
2020-07-30
(版本3.3)
CAPEC内容团队
manbetx客户端首页
更新Execution_Flow
2020-12-17
(版本3.4)
CAPEC内容团队
manbetx客户端首页
更新Related_Attack_Patterns
2022-02-22
(版本3.7)
CAPEC内容团队
manbetx客户端首页
更新Example_Instances Execution_Flow
以前的条目名称
改变日期
以前的条目名称
2017-05-01
(版本2.10)
在HTTP中嵌入脚本查询字符串
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
