CAPEC - CAPEC - 81: Web服务器日志篡改(版本3.9)


常见的攻击模式枚举和分类社区资源识别和理解的攻击

家>CAPEC列表> capec - 81: Web服务器日志篡改(版本3.9)

篡改capec - 81: Web服务器日志

攻击模式ID: 81

抽象:详细的

视图定制的信息:

描述

Web日志篡改攻击包含攻击者注射,删除或篡改的内容Web日志通常为了掩蔽其他恶意行为。另外,恶意数据写入日志文件可能目标工作,过滤器,报告和其他代理这一过程日志以异步攻击模式。这种模式的攻击类似于“日志Injection-Tampering-Forging”除了在这种情况下,攻击目标是web服务器的日志,而不是应用程序。

攻击的可能性

媒介

典型的严重性

高

的关系

此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。

自然	类型	ID	的名字
ChildOf	标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。	268年	审计日志操作

此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。

视图名称	顶级类别
域的攻击	软件
机制的攻击	操作系统资源

执行流程

探索

确定应用程序Web服务器日志文件格式:攻击者观察系统,寻找指标的日志工具被使用的web服务器。

技术
确定日志工具被应用程序web服务器(如log4j),只可能在应用程序被攻击者或如果应用程序返回错误消息日志记录工具的信息。

实验

确定注射内容:与恶意攻击者发射各种记录操作数据,以确定什么样的日志注入是可能的。

技术
与恶意攻击者触发器记录动作的数据作为输入,参数,参数等。

利用

操作日志文件:攻击者修改日志内容直接通过操纵或锻造或间接通过注入精雕细琢请求web服务器将接收和写入日志。这种类型的攻击通常是使用另一个攻击,试图覆盖前面的攻击的痕迹。

技术

间接通过注入,使用回车或换行字符开始新的一行在日志文件中,然后添加一个假的条目。

例如:“/指数的HTTP请求。html % 0 a % 0 dip_address——DATE_FORMAT]“GET / forged-path HTTP / 1.1”200”——“USER_AGENT”可以添加日志行到Apache access_log”(比方说)。不同的应用程序可能需要不同的回车和换行字符的编码。

直接通过日志文件或数据库操作,使用回车或换行字符开始新的一行在日志文件中,然后添加一个假的条目。

直接通过日志文件或数据库操作,修改现有的日志条目。

先决条件

目标服务器的软件必须是一个HTTP服务器,它执行web日志记录。

技能要求

(等级:低)

伪造条目输入Web日志

所需资源

能力特殊格式化的HTTP请求发送到web服务器

后果

这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。

范围	影响	可能性
完整性	修改数据

缓解措施

设计:使用输入验证之前写网络日志

设计:前验证所有的日志数据输出

例子,实例

大多数web服务器有一个公共接口,即使大多数的网站密码保护,通常有至少一个登录网站和brochureware公开。HTTP请求网站普遍记录到一个Web日志。从攻击者的角度来看,标准HTTP请求包含恶意代码可以被发送到公共网站(不需要其他访问),当这些出现在日志(如http://victimsite/index.html?的请求<恶意脚本>如果他们是紧随其后的是管理员这可能足以探测管理员的主机或本地网络。

相关的弱点

一个相关的弱点将一个弱点与这种攻击模式的关系。各协会意味着必须存在一个弱点,对于一个给定的攻击才能成功。如果多个缺陷相关的攻击模式,那么任何的弱点(但不是全部)可能存在的攻击才能成功。每一个相关的弱点是由CWE标识符。

CWE-ID	疲软的名字
117年	不正确的输出中和日志
93年	中和不当CRLF序列(CRLF注入)
75年	未能清洁特殊元素转换为不同的平面(特殊元素注入)
221年	信息丢失或遗漏
96年	不当中和静态保存指令的代码(静态代码注入)
20.	不正确的输入验证
150年	中和不当逃脱、元或控制序列
276年	不正确的默认权限
279年	不正确的Execution-Assigned权限
116年	不当的编码或逃避的输出

分类法映射

CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。

(见相关ATT&CK分类法映射父)

引用

[REF-1] g·霍格伦德和g·麦格劳。“利用软件:如何打破代码”。addison - wesley。2004 - 02。

内容的历史

提交
提交日期	提交者	组织
2014-06-23 (版本2.6)	CAPEC内容团队	manbetx客户端首页
2014-06-23 (版本2.6)
修改
修改日期	修饰符	组织
2017-05-01 (版本2.10)	CAPEC内容团队	manbetx客户端首页
2017-05-01 (版本2.10)	更新Related_Weaknesses
2021-06-24 (版本3.5)	CAPEC内容团队	manbetx客户端首页
2021-06-24 (版本3.5)	更新Related_Weaknesses
2022-09-29 (版本3.8)	CAPEC内容团队	manbetx客户端首页
2022-09-29 (版本3.8)	@ name更新
以前的条目名称
改变日期	以前的条目名称
2022-09-29 (版本3.8)	Web日志篡改

更多的信息是可用的,请选择一个不同的过滤器。

页面最后更新或审查:2022年9月29日,


	站点地图\|使用条款\|隐私政策\|联系我们\| 使用常见的攻击模式枚举和分类(CAPEC)和相关的引用从这个网站的使用条款。CAPEC赞助的美国国土安全部(DHS)网络和基础设施安全机构(CISA)和管理的国土安全系统工程和发展研究所这是由(HSSEDI)manbetx客户端首页(斜方)。版权©2007 - 2023,斜方公司。manbetx客户端首页CAPEC和CAPEC标志是斜方公司的商标。manbetx客户端首页

常见的攻击模式枚举和分类

篡改capec - 81: Web服务器日志