 描述
攻击者工艺品恶意网页链接和分发它们(通过网页,电子邮件,等等),通常有针对性的方式,希望能诱导用户点击链接对一些第三方应用程序并执行恶意的行动。如果成功,行动中嵌入恶意链接将被处理和接受的目标应用程序与用户的权限级别。这种类型的攻击利用了持久性和隐式信任放在今天,许多web应用程序用户会话cookie。在这种体系结构中,一旦用户创建会话cookie验证应用程序和用户的系统上,所有以下事务的会话cookie验证使用,包括潜在的行动由攻击者和简单的“骑”现有的会话cookie。
替代条款
攻击的可能性
典型的严重性
执行流程
探索
探索目标网站:攻击者首先探讨了目标网站确定的功能感兴趣的(比如转账)。攻击者需要一个合法的用户帐户在目标网站。它将有助于有两个账户。
| 技术 |
| 使用web应用程序的调试工具,如WebScarab,篡改数据或TamperIE分析客户机和服务器之间交换的信息 |
| 使用网络嗅探工具如Wireshark分析客户机和服务器之间交换的信息 |
| 查看web页面的HTML源代码包含链接或按钮,执行操作的兴趣。 |
实验
创建一个链接,当点击时,将执行有趣的功能。攻击者需要创建一个链接,将执行一些有趣的功能,如转账、修改密码等。
| 技术 |
| 创建一个GET请求包含所有必需的参数(例如,https://www.somebank.com/members/transfer.asp?to=012345678901&amt=10000) |
| 创建一个表单,提交一个POST请求(例如<形式方法= " POST " action = " https://www.somebank.com/members/transfer.asp " > < input type = "隐藏" Name = "到" value = " 012345678901 " / > < input type = "隐藏" Name =“amt”价值= " 10000 " / > < input type = "提交" src = " clickhere.jpg " / > < /形式> |
利用
说服用户点击链接:最后,攻击者需要说服用户登录到目标网站点击链接执行CSRF攻击。
| 技术 |
| 执行网络钓鱼攻击和说服他们向用户发送一封电子邮件,点击一个链接。 |
| 执行一个存储XSS攻击的网站永久嵌入恶意链接进入网站。 |
| 执行一个存储XSS攻击网站,XMLHTTPRequest对象将自动执行攻击一旦用户访问页面。这消除了一步让用户点击一个链接。 |
| 包括攻击者恶意链接的网站,用户可以单击链接时,或者一个XMLHTTPRequest对象可能用户访问网站时自动执行攻击。 |
技能要求
|
(级别:中等) 攻击者需要找出确切的调用有针对性的恶意行动然后工艺执行的链接说行动。让用户点击这些链接通常是通过发送电子邮件或发布这样一个链接到一个公告板或喜欢。 |
所需资源
| 所有的攻击者需要的是准确的表示请求的应用程序,能够让恶意链接在一个受害者。 |
后果
 这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
|
保密
访问控制
授权 |
获得特权 |
|
|
保密 |
读取数据 |
|
|
完整性 |
修改数据 |
|
缓解措施
| 使用加密令牌关联请求与一个特定的行动。令牌可以在每个请求重新生成,如果遇到一个无效的令牌的请求时,它可以可靠地丢弃。令牌被认为是无效的,如果它到达请求以外的行动应该是相关的。 |
| 虽然不太可靠,使用可选的HTTP引用头也可以用来确定传入请求实际上是一个用户授权,在当前上下文。 |
| 此外,用户还可以提示确认一个动作一个动作每次调用有关潜在的敏感数据。这样,即使攻击者能够让用户点击恶意链接,请求所需的操作,用户有机会恢复否认确认。这个解决方案也含蓄地绑定到使用第二因素身份验证之前执行这样的操作。 |
| 一般来说,每个请求必须检查适当的身份验证令牌以及授权的当前会话上下文。 |
例子,实例
当用户登录到他们的银行账户时,攻击者可以发送一个电子邮件与一些潜在的有趣的内容和要求用户点击一个链接的电子邮件。 链接指向或包含攻击者设置脚本,可能即使在iFrame,模拟实际用户表单提交执行恶意行为,如从受害者的账户转移资金。 攻击者可以嵌入的脚本,或目标,执行任意操作的链接作为身份验证的用户。执行这个脚本时,目标应用程序验证和接受的行动基于受害者现有会话cookie。 参见:跨站点请求伪造(CSRF)脆弱性跑龙套。pl @Mail邮箱4.51允许远程攻击者修改任意设置和执行未经授权的操作作为一个任意的用户,演示了使用设置操作在一个IMG元素的SRC属性在HTML电子邮件。 |
分类法映射
CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
有关WASC分类法映射
与OWASP分类法映射
引用
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2015-11-09
(版本2.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Attack_Phases |
| 2015-12-07
(版本2.8) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Attack_Phases |
| 2017-01-09
(版本2.9) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Alternate_Terms Attack_Phases |
| 2017-05-01
(版本2.10) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Attack_Phases |
| 2017-08-04
(版本2.11) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Attack_Phases Related_Attack_Patterns |
| 2018-07-31
(版本2.12) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Attack_Phases,引用 |
| 2020-07-30
(版本3.3) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Example_Instances、Execution_Flow Related_Weaknesses |
| 2020-12-17
(版本3.4) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新引用,Taxonomy_Mappings |
| 2021-06-24
(版本3.5) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Weaknesses |
| 以前的条目名称 |
| 改变日期 |
以前的条目名称 |
| 2017-01-09
(版本2.9) |
跨站请求伪造(又名会话骑) |
|
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
