 描述
这种攻击利用Ajax谈话的客户机-服务器往返频繁扫描系统。虽然Ajax不开辟新的漏洞本身,它从攻击者的角度优化它们。一个常见的攻击者的第一步是足迹了解攻击的目标环境。自足迹依赖于枚举,快速的对话模式,多个请求和响应中典型的Ajax应用程序使攻击者寻找许多漏洞,著名的港口,网络位置等等。获得的知识通过Ajax指纹可用于支持其他的攻击,比如XSS。
攻击的可能性
典型的严重性
执行流程
探索
请求发送到目标和分析HTML网页:使用浏览器或一个自动化工具,敌人将请求发送给一个网页,记录接收到的HTML响应。敌人然后分析HTML来识别任何已知的底层JavaScript架构。这可以帮助mappiong公开已知的漏洞的网页,也可以helpo对手想应用程序体系结构和系统的内部工作原理。
| 技术 |
| 记录所有" src "值在脚本标记。相比这些JavaScript文件列表的文件架构。如果有一个大“src”值之间的匹配和架构文件,那么可以认为使用特定的体系结构。 |
先决条件
技能要求
|
(级别:中等) 土地和受害者的机器上启动脚本以适当的足迹在JavaScript中列举服务和逻辑漏洞 |
所需资源
后果
 这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
缓解措施
| 设计:使用浏览器技术,不允许客户端脚本。 |
| 实现:对所有远程执行输入验证的内容。 |
例子,实例
| 碳足迹可以在几乎任何协议包括执行HTTP、TCP、UDP, ICMP,获得进一步信息的一般目标发动进一步攻击的主机环境。横幅,攻击者可以探测系统漏洞,文件名,可用的服务,总之任何主机进程访问。调查的结果要么是用于执行javascript(例如,如果攻击者的足迹在防火墙脚本识别漏洞许可,然后客户端脚本执行javascript客户端防火墙设置,改变或攻击者可能仅仅扫描结果听到回声为针对未来的袭击)远程主机或通知其他数据收集活动以工艺阿塔。 |
分类法映射
CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
引用
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2018-07-31
(版本2.12) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新的引用 |
| 2020-07-30
(版本3.3) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述、Example_Instances Execution_Flow移植,Related_Attack_Patterns, Resources_Required Typical_Severity |
| 2020-12-17
(版本3.4) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新@ name, Related_Attack_Patterns |
| 2021-06-24
(版本3.5) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Weaknesses |
| 2022-02-22
(版本3.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Execution_Flow |
| 以前的条目名称 |
| 改变日期 |
以前的条目名称 |
| 2020-12-17
(版本3.4) |
AJAX指纹 |
|
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
