 描述
应用程序通常使调用函数库的一部分外部应用程序。这些库可能是操作系统的一部分,也可以是第三方库。可能是应用程序不妥善处理情况下,访问这些库已被封锁。根据应用程序中的错误处理,屏蔽了库可能离开系统处于不安全状态,可能被攻击者利用。
攻击的可能性
典型的严重性
执行流程
探索
-
确定外部库应用程序访问。
实验
-
屏蔽外部库访问的应用程序。
-
监控系统的行为是否进入一个不安全的/不一致的状态。
-
如果系统进入一个不安全的/不一致的状态,利用获得的信息系统功能或数据,提高访问控制等等。这种攻击的其余部分将取决于上下文和期望的目标。
先决条件
| 一个应用程序需要访问外部库。 |
| 攻击者有权阻止应用程序访问外部库。 |
技能要求
|
(等级:低) 如何屏蔽库的知识,以及如何利用知识生成的应用程序基于失败的调用。 |
后果
 这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
|
可用性 |
改变执行逻辑 |
|
|
保密 |
其他 |
|
|
保密
访问控制
授权 |
旁路保护机制 |
|
缓解措施
| 确保应用程序处理的情况下安全地进入外部api库不可用。如果应用程序不能安全地继续执行它应该会失败在一个一致的和安全的方式。 |
例子,实例
| 一个基于web的系统使用第三方加密随机数生成库,熵来自机器的硬件。这个库是用于生成用户会话id使用的应用程序。如果图书馆不可访问,应用程序而不是使用基于软件的弱伪随机数生成库。攻击者系统的块访问应用程序的第三方加密随机数生成库(通过重命名)。应用程序依次使用弱伪随机数生成库生成会话id是可预测的。攻击者利用这个弱点来猜另一个用户的会话id执行水平高度特权升级和获得另一个用户的帐户。 |
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2017-01-09
(版本2.9) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2018-07-31
(版本2.12) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Attacker_Skills_or_Knowledge_Required |
| 2019-09-30
(版本3.2) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2021-06-24
(版本3.5) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Weaknesses |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
