Capec的新手?从这里开始
>CAPEC列表> CAPEC-500:WebView注入(版本3.9)

CAPEC-500:WebView注入
攻击模式ID:500
抽象:详细的
查看自定义信息:
+描述
对手通过先前安装的恶意应用程序将代码注入WebView组件显示的网页上下文中。通过注入的代码,对手能够操纵页面的DOM树和cookie,揭示敏感信息,并可以从网页中启动针对Web应用程序的攻击。
+关系
部分帮助该表显示了与此攻击模式相关的其他攻击模式和高级类别。这些关系定义为childof和parentof,并深入了解可能存在于较高和较低抽象水平的类似项目。此外,定义了诸如Canfollow,Peerof和Canalsobe之类的关系,以显示用户可能想要探索的类似攻击模式。
自然 类型 ID 名称
Childof 标准攻击模式标准攻击模式 - CAPEC中的标准水平攻击模式集中在攻击中使用的特定方法或技术上。它通常被视为完全执行的攻击的单一奇异部分。标准攻击模式旨在提供足够的细节,以了解特定技术以及如何实现所需目标。标准水平攻击模式是更抽象的元水平攻击模式的特定类型。 253 远程代码包含
部分帮助该表显示了此攻击模式属于该视图中的最高级别类别的视图。
查看名称 顶级类别
攻击域 软件
攻击机制 注入意外的项目
+执行流
探索

  1. 确定目标Web应用程序:对手首先需要确定他们希望针对的Web应用程序。

    技术
    目标Web应用程序需要用户输入敏感信息。
    对手希望代表登录用户进行操作的目标Web应用程序。
实验

  1. 创建恶意应用程序:对手会创建一个通常移动的应用程序,该应用程序包含一个WebView组件以显示目标Web应用程序。此恶意应用程序需要由用户下载,因此对手将使此应用程序在某种程度上有用。

    技术
    创建第三方应用程序,该应用程序为目标Web应用程序添加了有用的功能。受害者将下载该应用程序作为使用目标Web应用程序的一种手段。
    创建一个有趣的游戏,在某个时候将用户引导到目标Web应用程序。例如,提示用户通过将游戏货币引向贝宝(PayPal)来购买游戏货币。

  2. 让受害者下载并运行该应用程序:对手需要让受害者愿意下载并运行该应用程序。

    技术
    支付App Store广告
    通过对手的帐户或支付其他帐户进行广告宣传,可以在社交媒体上推广该应用程序。
开发

  1. 注入恶意代码:受害者运行恶意应用程序并在WebView组件中查看目标网页后,恶意应用程序将将恶意的JavaScript代码注入Web应用程序。这是通过使用WebView的LoadUrl()API来完成的,该API可以将任意的JavaScript代码注入由WebView组件加载的页面,并具有相同的特权。这通常是通过将脚本标签添加到具有SRC目的地的文档主体中的远程位置来完成的,该位置提供恶意的JavaScript代码。

    技术
    代表身份验证的用户在目标网页上执行操作。
    从受害者那里窃取饼干信息。
    在DOM上添加额外的字段,以使用户泄露敏感信息。
+先决条件
对手必须能够在设备上安装专用的恶意应用程序,并说服用户执行它。恶意应用程序旨在针对特定的Web应用程序,并用于通过WebView组件加载目标网页。例如,对手可能会开发一个通过WebView与Facebook交互的应用程序,并添加用户所需的新功能。用户将安装此第三方应用程序,而不是Facebook应用程序。
+缓解
这种攻击的唯一已知缓解措施是使恶意应用程序远离系统。目标应用程序无能为力,可以保护自己免受已安装和执行的恶意应用程序的侵害。
+参考
[Ref-430] Tongbo Luo,Hao Hao,Wenliang DU,Yifei Wang和Heng Yin。“在Android系统中对WebView的攻击”。年度计算机安全应用会议(ACSAC)。2011. <http://www.cis.syr.edu/~wedu/research/paper/webview_acsac2011.pdf>。
+内容历史记录
提交
提交日期 提交者 组织
2014-06-23
(版本2.6)
 CAPEC内容团队 manbetx客户端首页
修改
修改日期 修饰符 组织
2021-10-21
(版本3.6)
 CAPEC内容团队 manbetx客户端首页
更新的execution_flow
2023-01-24
(版本3.9)
 CAPEC内容团队 manbetx客户端首页
更新相关的_WEAKNESS
提供更多信息 - 请选择其他过滤器。
页面最后更新或审查:2021年10月21日

使用公共攻击模式枚举和分类(CAPEC)以及本网站的相关参考使用条款。Capec由美国国土安全部(DHS)网络安全和基础设施安全局(CISA),由国土安全系统工程和开发研究所(HSSEDI)由manbetx客户端首页(MITER)。版权所有©2007–2023,Miter Comanbetx客户端首页rporation。CAPEC和CAPEC徽标是Miter Corporation的商标。manbetx客户端首页