 描述
敌人,了解应用程序的位置(也可能是授权使用应用程序),探测应用程序的结构和评估其鲁棒性通过提交请求并检查响应。通常,这是通过发送变体预期的查询,希望这些修改查询可能返回信息将提供超出预期的查询。
攻击的可能性
典型的严重性
的关系
 此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
| 自然 |
类型 |
ID |
的名字 |
| ChildOf |
 元在CAPEC攻击模式——元级别攻击模式的量化无疑是一个抽象的描述一个特定的方法或技术用于攻击。元攻击模式往往是空虚的一个特定的技术或实现,旨在提供一个高水平的理解方法。元级攻击模式是一个泛化的攻击模式相关的标准水平。元级攻击模式尤其适用于架构和设计水平的威胁建模练习。 |
116年 |
挖掘 |
| ParentOf |
 详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
95年 |
WSDL扫描 |
| ParentOf |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
127年 |
目录索引 |
| ParentOf |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
215年 |
对应用程序映射起毛 |
| ParentOf |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
261年 |
起毛获得其他相邻用户/敏感数据 |
| ParentOf |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
462年 |
跨域的搜索时间 |
此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。
执行流程
探索
确定参数:确定应用程序的所有用户可控参数通过探测或找到文档
实验
导致错误条件:注入每个参数与内容,导致一个错误条件清单 修改参数:修改每个参数的内容根据观察到的错误条件
利用
跟进:重复上述步骤之后有足够的参数,应用程序将充分映射。对手可以发射所需的攻击(例如SQL盲注)
先决条件
| 这类攻击并不严格要求授权访问应用程序。攻击者使用这种攻击过程分类,地图,和识别脆弱的方面的一个应用程序,它只需要验证的假设,与应用程序的交互,进行反复试验活动。 |
技能要求
|
(级别:中等) 尽管模糊参数并不困难,和经常与自动化fuzz,可能解释的错误条件,修改参数,进一步将应用程序需要映射的过程中目标平台的详细知识,所使用的语言和包以及软件设计。 |
所需资源
攻击者需要探测应用程序功能的能力,并提供错误的指令或数据而不会引发入侵检测方案或足够的影响应用程序的日志记录,措施对抗敌人。 攻击不需要特殊的硬件,软件,技能,或访问。 |
指标
| 重复同一段代码生成的错误是一个迹象,尽管它需要仔细监测应用程序及其相关的错误日志,如果任何。 |
后果
这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
缓解措施
| 应用程序设计人员可以构建一个“代码书”错误消息。使用代码书时,应用程序生成的错误消息并不是字符串或堆栈跟踪形式,但编目,取而代之的是一个独特的(通常是基于整数)值的编码错误。这种技术需要帮助台和接待人员使用“代码书”或类似的映射来解码应用程序错误/ logs为了正常反应。 |
| 应用程序设计人员可以封装应用程序功能(最好是通过底层框架)在输出编码方案,掩盖了或清理错误消息以防止发生这样的袭击。这种技术通常用于与上述代码书的建议。 |
例子,实例
| 盲目的SQL注入是该技术的一个例子,申请成功的利用。参见:cve - 2006 - 4705 |
攻击者发送错误的数据在不同的servlet在J2EE系统,返回异常堆栈跟踪,记录和地图应用程序功能。 此外,这种技术可以让攻击者关联这些servlet使用底层的开源软件包(和潜在的版本号),提供它们。 |
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2015-11-09
(版本2.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述总结 |
| 2018-07-31
(版本2.12) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新的引用 |
| 2019-04-04
(版本3.1) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Weaknesses |
| 2019-09-30
(版本3.2) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2021-06-24
(版本3.5) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2021-10-21
(版本3.6) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Execution_Flow Resources_Required |
| 2022-09-29
(版本3.8) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 以前的条目名称 |
| 改变日期 |
以前的条目名称 |
| 2015-11-09
(版本2.7) |
调查应用程序错误报告 |
|
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
