 描述
攻击者收获通过积极的会话识别信息的受害者,受害者的浏览器和社交网站。受害者可能社交网站打开一个标签或者仅仅是使用“记住我”特性保持会话与社交网站活跃。执行攻击者产生有效载荷在受害者的浏览器中,透明的受害者向社交网站发起一个请求(例如,通过使用社交网站api)来检索识别信息的受害者。虽然其中一些信息可能是公开的,攻击者可以在上下文和收获这些信息可以使用它进一步攻击的用户(例如,鱼叉式网络钓鱼)。
扩展描述
还有许多其他方式执行攻击者可能会有效载荷在受害者的浏览器中主要是通过找到一个办法把它藏在一些著名的网站,访问受害者。攻击者也可以向受害者发送链接在电子邮件和诱骗受害者点击链接。这种攻击基本上是一个跨站请求伪造攻击和两个主要的不同之处。首先,没有行动,执行代表用户除了收集信息。所以标准CSRF保护可能不会在这种情况下工作。第二,什么是重要的在这种攻击模式的本质是收集数据,识别可以获得的信息,在一定的环境中使用。识别信息的实时获取可以用作实时推出有针对性的前奏社会工程攻击受害者。
典型的严重性
先决条件
技能要求
|
(级别:高) 攻击者应该能够创建一个有效载荷和交付到受害者的浏览器。 |
|
(级别:中等) 攻击者需要知道如何与各种社交网站(例如,通过使用api)请求信息和如何将采集数据发送到攻击者。 |
缓解措施
| 用法:用户应该显式地从社交网站注销完成后使用它们。 |
| 用法:用户不应该开放其他标签在使用社交网站时在浏览器中。 |
例子,实例
| 恶意攻击者可能帖子与嵌入式链接包含一个图像。实际的联系请求识别来自社交网站的信息。受害者观点恶意发布在他们的浏览器将攻击者发送识别信息,只要受害人与社交网站有一个活跃的会话。 |
引用
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2020-07-30
(版本3.3) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述,Related_Attack_Patterns |
| 2020-12-17
(版本3.4) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述、Example_Instances移植 |
| 2022-02-22
(版本3.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述,Extended_Description |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
