 描述
敌人中嵌入恶意脚本将提供web浏览器的内容。这次袭击的目标是为目标的软件,客户端浏览器,执行脚本的用户的特权级别。这种类型的攻击利用程序的漏洞,通过允许远程主机执行代码和脚本。Web浏览器,例如,有一些简单的安全控制,但如果允许远程攻击者执行脚本(通过注射到用户生成内容如公告板)那么这些控件可能被忽略。此外,这些攻击是一个最终用户很难检测到。
攻击的可能性
典型的严重性
的关系
 此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
| 自然 |
类型 |
ID |
的名字 |
| ChildOf |
 元在CAPEC攻击模式——元级别攻击模式的量化无疑是一个抽象的描述一个特定的方法或技术用于攻击。元攻击模式往往是空虚的一个特定的技术或实现,旨在提供一个高水平的理解方法。元级攻击模式是一个泛化的攻击模式相关的标准水平。元级攻击模式尤其适用于架构和设计水平的威胁建模练习。 |
242年 |
代码注入 |
| ParentOf |
 详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
588年 |
基于dom的XSS |
| ParentOf |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
591年 |
反映XSS |
| ParentOf |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
592年 |
存储XSS |
| 光束 |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
33 |
HTTP请求走私 |
| 光束 |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
34 |
HTTP响应分裂 |
| 光束 |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
85年 |
AJAX的碳足迹 |
| 光束 |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
105年 |
HTTP请求分割 |
| 光束 |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
174年 |
Flash参数注入 |
| 光束 |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
273年 |
HTTP响应走私 |
| CanPrecede |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
107年 |
跨站跟踪 |
此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。
执行流程
探索
调查申请用户可控的输入:使用浏览器或一个自动化工具,攻击者遵循所有公共和行动在一个网站的链接。他们记录所有的链接、表单、资源访问web应用程序和所有其他可能的切入点之一。
| 技术 |
| 使用搜索工具跟踪和记录所有的链接和分析网页找到入口点。特别注意任何链接,包括参数的URL。 |
| 使用一个代理工具来记录所有的链接访问web应用程序的手册中遍历。 |
| 网站使用浏览器手动探索和分析它是如何构建的。许多浏览器的插件可以促进分析或自动发现。 |
实验
XSS漏洞探测识别潜在入口点:攻击者使用入口点聚集在“探索”阶段作为目标列表和注入各种常见脚本载荷可以确定一个入口点实际上代表一个脆弱和描述在多大程度上可以利用的漏洞。
| 技术 |
| 使用XSS探针字符串列表注入脚本参数已知的url。如果可能的话,探测器字符串包含一个惟一的标识符。 |
| 使用一个代理工具记录结果XSS探针的手工输入url。 |
| 使用XSS探针字符串列表界面输入字段注入脚本。如果可能的话,探测器字符串包含一个惟一的标识符。 |
| 使用XSS探针的列表字符串注入脚本资源访问的应用程序。如果可能的话,探测器字符串包含一个惟一的标识符。 |
利用
窃取会话id,凭证、页面内容等。攻击者成功利用该漏洞,他们可以选择窃取用户的凭证,以便重用或分析。
| 技术 |
| 开发恶意JavaScript,注入通过向量确定了在实验阶段和加载受害者的浏览器和文档信息发送给攻击者。 |
| 开发通过向量确定注入恶意JavaScript在实验阶段从攻击者的服务器和接受命令,然后导致浏览器适当地执行。 |
有力的浏览:当攻击者的目标当前应用程序或另一个(通过CSRF漏洞),用户将被人在毫不知情的情况下完成攻击。这些攻击主要是针对应用程序逻辑缺陷,但它也可以用来创建一个广泛的攻击一个特定的网站用户的当前网络(互联网)。
| 技术 |
| 开发恶意JavaScript,注入通过向量确定在实验阶段和由受害者的浏览器加载并执行操作在同一个网站 |
| 开发通过向量确定注入恶意JavaScript在实验阶段从攻击者的服务器和接受命令,然后导致浏览器执行请求其他网站(尤其是CSRF漏洞的web应用程序)。 |
内容欺骗:通过操作内容,攻击者的目标用户想要的信息的网站。
| 技术 |
| 开发恶意JavaScript,注入通过向量确定了在实验阶段和加载受害者的浏览器和暴露attacker-modified无效信息用户对当前web页面。 |
先决条件
| 目标客户端软件必须是一个客户机允许脚本从远程主机通信,比如支持javascript的浏览器。 |
技能要求
|
(等级:低) 实现重定向和使用更少的可靠来源,攻击者可以将脚本放在公告栏、博客、wiki、或其他用户生成内容的网站,其他客户机上回响。 |
|
(级别:高) 开发一个客户端漏洞将恶意脚本注入浏览器的执行过程。 |
所需资源
| 部署自定义敌对目标客户服务的访问。沟通能力与客户端机器同步或异步。 |
后果
这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
|
保密
完整性
可用性 |
执行未经授权的命令 |
|
|
完整性 |
修改数据 |
|
|
保密 |
读取数据 |
|
缓解措施
| 设计:使用浏览器技术,不允许客户端脚本。 |
| 设计:利用严格的类型、字符和编码执行 |
| 设计:服务器端开发人员不应该通过XHR代理内容或其他方式,如果一个http代理远程内容设置在服务器端,客户端浏览器无法识别数据来自的地方。 |
| 实现:确保所有内容交付给客户是消毒与一个可接受的内容规范。 |
| 实现:对所有远程执行输入验证的内容。 |
| 实现:对所有远程执行输出验证的内容。 |
| 实现:会话令牌为特定的主机 |
| 实现:修补软件。有很多对XSS攻击向量在客户端和服务器端。许多浏览器漏洞被固定在服务包,web服务器、和插入技术,保持当前处理XSS对策,缓解了这一补丁发布。 |
例子,实例
经典的网络钓鱼攻击吸引用户点击内容值得信赖,如商标、链接似乎去他们值得信赖的金融机构和在线拍卖网站。而是攻击者恶意脚本附加到其他无辜的出现资源。标准的HTML源代码网络钓鱼攻击看起来像这样:
< a href = " www.exampletrustedsite.com ?的名字=">Trusted Site 当用户单击链接时,附加脚本也本地用户的机器上执行。 |
分类法映射
引用
|
[REF-1] g·霍格伦德和g·麦格劳。“利用软件:如何打破代码”。addison - wesley。2004 - 02。 |
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2017-05-01
(版本2.10) |
CAPEC内容团队 |
manbetx客户端首页 |
| Examples-Instances Activation_Zone更新,Attack_Prerequisites、描述总结,有效载荷,Payload_Activation_Impact, Related_Attack_Patterns, Related_Weaknesses, Resources_Required Typical_Likelihood_of_Exploit |
| 2020-07-30
(版本3.3) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Execution_Flow |
| 2020-12-17
(版本3.4) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns Taxonomy_Mappings |
| 2022-09-29
(版本3.8) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Example_Instances |
| 以前的条目名称 |
| 改变日期 |
以前的条目名称 |
| 2017-05-01
(版本2.10) |
简单的脚本注入 |
|
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
