常见的攻击模式枚举和分类

术语:男人在浏览器中

术语:男孩在浏览器中

术语:人在移动

1. 对手的技巧受害者到特洛伊木马恶意软件安装到他们的系统。

   技术
   进行钓鱼攻击,顺路的恶意软件安装,或化妆舞会恶意浏览器扩展是合法的。

2. 敌人将自己插入最初的通信通道作为路由代理两个目标之间的组件。

1. 敌人所观察到的,他们选择的过滤器,或通过改变数据获取敏感信息或操纵两个目标组件的行动为自己的目的。

术语:中间人/ MITM

术语:Person-in-the-Middle / PiTM

术语:Monkey-in-the-Middle

术语:Monster-in-the-Middle

术语:路径有关攻击者

1. 确定通信机制:对手决定的本质和机制两个组件之间的通信,利用寻找机会。

   技术
   执行一个嗅探攻击,观察沟通确定通信协议。
   寻找可能的应用程序文档描述目标所使用的一种通信机制。

1. 目标之间的地位:敌人将自己插入最初的通信通道作为路由代理两个目标之间的组件。

   技术
   在客户端安装间谍软件,将拦截即将离任的数据包,并将其发送到目的地以及路线传入的数据包返回到客户机。
   利用一个弱点在一个加密的通信机制来获得流量。寻找过时的SSL等机制。

1. 使用拦截恶意数据:敌人所观察到的,过滤器,或通过改变数据的选择获得敏感信息或操纵两个目标组件的行动为自己的目的。

   技术
   防止一些消息到达目的地,造成拒绝服务。

1. 假设在应用程序SQL查询:

   关于应用程序中的SQL查询生成的假设。例如,对手可能会假设他们的输入直接传递到查询看起来像:
   “从订单选择* ordernum = _____”

   
   

   或

   
   

   “从订单选择* ordernum (_____)”

   
   

   或

   
   

   “从订单选择* ordernum _____(_____)顺序”
   当然,还有许多其他的可能性。

   技术
   研究类型的SQL查询和确定哪些应用程序可以在不同的地方。

2. 决定如何注入信息查询:

   决定如何注入信息查询等前一步,注射并不影响他们的逻辑。例如,以下是可能注射的查询:
   “5 ' OR 1 = 1;——“

   
   

   和

   
   

   “5)OR 1 = 1;——“

   
   

   和

   
   

   “ordernum DESC;——“

   技术
   子句添加到SQL查询,查询逻辑并没有改变。
   延迟添加到SQL查询,以防服务器不提供明确的错误信息(例如等待延迟“0:0:10”SQL server或基准(1000000000,MD5(1)在MySQL)。如果这些可以注入到查询,那么需要的时间服务器响应显示查询是否注射。

1. 确定用户可控输入容易注入:确定用户可控输入容易注入。为每个用户可控输入对手怀疑是容易受到SQL注入,试图注入前一步中确定的值。如果没有发生错误,那么对手知道SQL注入成功。

   技术
   使用web浏览器将输入文本字段或通过HTTP GET参数。
   使用一个web应用程序调试工具如篡改数据,TamperIE, WebScarab,等等。修改HTTP POST参数,隐藏字段,non-freeform字段等。
   使用网络级数据包注入工具如netcat注入输入
   使用修改客户端(由逆向工程修改)注入输入。

2. 判断数据库类型:决定数据库的类型,如MS SQL Server或Oracle或MySQL,使用逻辑条件的一部分注入查询

   技术
   尝试将一个字符串包含字符(0 x31) =字符(0 x31)(这评估仅在SQL Server 1 = 1)
   尝试将一个字符串包含0 x313d31(这个评估在MySQL 1 = 1只)
   注入其他特定于数据库的命令输入字段容易受到SQL注入。敌人可以确定类型的数据库,通过检查运行是否成功执行的查询(例如对手是否收到服务器的正常反应)。

1. 提取信息数据库模式:提取信息的数据库模式的数据库模式回答是的/没有什么问题了。

   技术
   自动提取数据库模式使用工具如苦艾酒。
   手动执行SQL盲注中提取想要的数据库模式的信息。

2. 利用SQL注入漏洞:在前面的步骤中使用的信息成功地注入数据库为了绕过检查或修改,添加、检索或从数据库中删除数据

   技术
   使用信息如何注入命令的SQL查询以及信息数据库模式来执行攻击例如删除表,插入记录,等等。

1. 确定秘密测试过程:确定一个潜在的猜的秘密可能被测试。这可能是通过比较一些操纵一个已知的秘密值,使用秘密操纵一些已知的一组数据并确定结果显示特定的特征(例如,把密码电文变成明文),或通过提交的秘密一些外部权威和外部权威回应值是否正确的秘密。理想情况下,攻击者想要确定的正确性以来想独立外部权威的参与通常是慢的,可以提供一个指示的后卫蛮力攻击企图。

   技术
   是否有一种方法可以并行化攻击。大多数蛮力攻击可以利用并行技术通过将可用资源的搜索空间,从而成功的平均时间除以可用资源的数量。如果有一个瓶颈,如需要检查答案与外部权威,攻击者的立场明显退化。

2. 减少搜索空间:找到方法来减少的秘密空间。攻击者可以使空间越小,他们需要寻找秘密值,成功的机会就越大。有许多方法的搜索空间可能会减少。

   技术
   如果可能的话,确定被选的秘密。如果秘密决定算法(如由随机数字生成器)算法可能模式或依赖,减少的秘密空间的大小。如果秘密是由人类行为因素可能,如果不是完全减少空间,使某些类型的秘密比其他人更有可能。(例如,人类可能在多个地方使用相同的秘密或使用秘密看起来或听起来熟悉易于回忆。)
   如果选择算法的秘密,密码分析可以应用于算法发现模式的算法。(这是真的,即使秘密不是用于加密)。周期性、需要种子值或发电机的弱点都可能导致一个小得多的秘密空间。
   如果这个秘密被一个人,社会工程和简单的间谍活动可以在他们的秘密选择显示模式。如果旧的秘密可以学到(目标可能会觉得他们没有需要保护的秘密,已经取代)暗示,可以了解他们的选择偏好。这些可以包括字符替换目标使用,模式来源(日期、著名的短语,音乐歌词,家庭成员,等等)。一旦确定,这些模式的初始工作蛮力攻击可以集中在这些地区。
   一些算法的技术秘密选择可能离开指标检测相对容易,可以用来消除大面积搜索空间的考虑。例如,它可能是能够确定一个秘密或不从一个给定的角色在一个相对小数量的测试。或者,它可能发现秘密的长度相对容易。这些发现将大大降低搜索空间,从而增加速度攻击者发现这个秘密。

3. 扩大胜利条件:有时可能扩大胜利条件。例如,攻击者可能不需要知道确切的秘密,只是需要一个值,使用一个单向函数产生相同的结果。虽然这样做并不减少搜索空间的大小,存在多个胜利条件并减少可能的时间,攻击者需要探索太空之前找到一个可行的价值。

1. 收集信息,所以攻击可以独立执行。如果可能的话,收集必要的信息,一个成功的搜索可以确定没有咨询外部的权威。这可以通过捕获密码电文(如果目标是解码文本)或加密的密码字典(如果目标是学习密码)。

1. 确定目标应用程序:敌人标识一个目标应用程序或程序执行缓冲区溢出。在这种攻击对手寻找一个应用程序,该应用程序将一个环境变量的内容加载到缓冲区。

1. 发现注入向量:对手识别注射向量提供过多的内容目标应用程序的缓冲区。

   技术
   更改环境变量的值被认为是由应用程序使用以包含过多的数据。如果程序是环境变量的值加载到一个缓冲区,这可能导致崩溃和攻击向量会被发现。

2. 工艺溢出内容:被注入的对手工艺品的内容。如果目的是简单地导致软件崩溃,内容只需要包含一个过度数量的随机数据。如果目的是利用执行任意代码的溢出,对手工艺品覆盖的有效载荷的方式返回地址被替换为对手的选择之一。

   技术
   创建时将执行的恶意shellcode返回程序执行。
   使用NOP-sled溢出的内容更容易“幻灯片”到恶意代码。这样做的好处是,确切的返回地址不一定是正确的,只有在所有的空操作的范围

1. 缓冲区溢出:使用注射向量,对手注入了溢出的内容到缓冲区。

1. 识别并探索缓存:使用工具来嗅嗅交通和扫描网络为了定位应用程序的缓存(例如web浏览器缓存)或公共缓存(如一个DNS或ARP缓存),可能的漏洞。寻找中毒在缓存表条目。

   技术
   运行工具,检查可用的缓存中的条目。

1. 导致特定的数据缓存:攻击者发送虚假请求到目标,然后洪水响应技巧缓存记得恶意回应,错误答案的查询。

   技术
   拦截或修改一个查询,或者发送一个虚假的查询与已知的凭证(如事务ID)。

1. 将用户重定向到恶意网站:攻击者成功利用该漏洞,他们可以操纵和插入恶意目标受害者查询的响应数据。

   技术
   拦截或修改一个查询,或者发送一个虚假的查询与已知的凭证(如事务ID)。
   Adversary-in-the-Middle攻击(capec - 94)拦截两党之间的安全通信。

1. 起草一份“点击劫持”页面:敌人利用web页面分层技术工艺恶意“点击劫持”页面

   技术
   对手杠杆iframe叠加功能工艺恶意“点击劫持”页面
   敌人利用Flash文件覆盖能力工艺恶意“点击劫持”页面
   对手杠杆Silverlight叠加功能工艺恶意“点击劫持”页面
   敌人杠杆的满足于脚本起草一个恶意的“点击劫持”页面

1. “点击劫持”页面对手引诱受害者:对手利用某种形式的诱惑,误导或强迫吸引受害者加载和与“点击劫持”页面交互的方式增加了受害人点击机会在正确的领域。

   技术
   诱惑受害者受害者恶意网站通过发送电子邮件的URL。
   引诱受害者恶意网站通过操纵url在网站可信的受害者。
   诱惑受害者恶意网站通过跨站点脚本攻击。

2. 诱骗受害者与“点击劫持”交互页面所需的方式:对手的技巧UI的受害者为点击区域含有隐藏的动作控制,从而与目标系统恶意与受害者的特权。

   技术
   隐藏行动控制非常常用的功能。
   隐藏行动控制非常诱人的心理内容。

1. 获得证书:敌人必须获得凭证为了访问目标系统,应用程序,或服务。

   技术
   敌人购买违反用户名/密码组合或哈希密码泄露从黑暗的网络。
   敌人利用键盘记录工具或钓鱼攻击窃取用户凭证提供。
   敌人进行嗅探攻击窃取凭证传输。
   敌人获得访问数据库和漏出的密码散列。
   敌人检查上方配置和属性文件发现硬编码的凭证。

2. 确定目标的密码策略:确定目标系统/应用程序的密码策略来确定已知的凭证符合指定的标准。

   技术
   确定最小和最大允许密码长度。
   确定的格式允许密码(是否需要或允许包含数字,特殊字符,等等,或者他们是否允许包含单词从字典)。
   确定帐户锁定策略(严格的帐户锁定策略将防止暴力破解攻击如果多个密码以一个用户帐户)。

1. 尝试验证:尝试每一个用户名/密码组合,直到目标授予访问权限。

   技术
   通过手动或自动输入每个用户名/密码组合目标的接口。

1. 模拟:敌人可以使用成功的实验或认证来模拟一个授权的用户或系统或横向移动在一个系统或应用程序

2. 欺骗:恶意数据可以注入到目标系统或用户系统的受害者的对手。敌人也可以冒充合法用户执行社会工程攻击。

3. 数据漏出:敌人可以获得敏感数据包含在系统或应用程序。

术语:会话控制

1. 探索目标网站:攻击者首先探讨了目标网站确定的功能感兴趣的(比如转账)。攻击者需要一个合法的用户帐户在目标网站。它将有助于有两个账户。

   技术
   使用web应用程序的调试工具,如WebScarab,篡改数据或TamperIE分析客户机和服务器之间交换的信息
   使用网络嗅探工具如Wireshark分析客户机和服务器之间交换的信息
   查看web页面的HTML源代码包含链接或按钮,执行操作的兴趣。

1. 创建一个链接,当点击时,将执行有趣的功能。攻击者需要创建一个链接,将执行一些有趣的功能,如转账、修改密码等。

   技术
   创建一个GET请求包含所有必需的参数(例如,https://www.somebank.com/members/transfer.asp?to=012345678901&amt=10000)
   创建一个表单,提交一个POST请求(例如<形式方法= " POST " action = " https://www.somebank.com/members/transfer.asp " > < input type = "隐藏" Name = "到" value = " 012345678901 " / > < input type = "隐藏" Name =“amt”价值= " 10000 " / > < input type = "提交" src = " clickhere.jpg " / > < /形式>

1. 说服用户点击链接:最后,攻击者需要说服用户登录到目标网站点击链接执行CSRF攻击。

   技术
   执行网络钓鱼攻击和说服他们向用户发送一封电子邮件,点击一个链接。
   执行一个存储XSS攻击的网站永久嵌入恶意链接进入网站。
   执行一个存储XSS攻击网站,XMLHTTPRequest对象将自动执行攻击一旦用户访问页面。这消除了一步让用户点击一个链接。
   包括攻击者恶意链接的网站,用户可以单击链接时,或者一个XMLHTTPRequest对象可能用户访问网站时自动执行攻击。

1. 确定启用HTTP跟踪:确定启用HTTP跟踪在受害者的web服务器有一个活跃的会话

   技术
   敌人可能发出HTTP请求跟踪到目标web服务器和观察如果原始请求的响应到达身体的反应。

1. 识别机制启动HTTP跟踪请求:敌人企图迫使受害者发出HTTP请求跟踪目标应用程序。

   技术
   跨站点脚本漏洞的对手调查迫使受害者发出HTTP请求跟踪。

1. 创建一个ping的恶意脚本与HTTP web服务器跟踪请求:敌人创建一个恶意脚本,将诱使受害者的浏览器发出一个HTTP请求跟踪到目标系统的web服务器。脚本将进一步拦截来自web服务器的响应,捡起敏感信息,网站和转发控制的对手。

   技术
   对手的恶意脚本绕开httpOnly饼干属性直接从劫持受害者的会话cookie,阻止使用文档。饼干,而是利用HTTP跟踪捕捉这些信息从HTTP请求的头一旦体内回荡回来从web服务器的HTTP跟踪响应。

2. 执行HTTP跟踪发起恶意脚本:敌人利用XSS漏洞,迫使受害者执行恶意HTTP跟踪启动脚本

3. 拦截HTTP跟踪响应:对手的脚本拦截HTTP跟踪响应格兰web服务器,一眼敏感信息,这些信息转发给服务器控制的对手。

1. 调查申请用户可控的输入:使用浏览器或一个自动化工具,攻击者遵循所有公共和行动在一个网站的链接。他们记录所有的链接、表单、资源访问web应用程序和所有其他可能的切入点之一。

   技术
   使用搜索工具跟踪和记录所有的链接和分析网页找到入口点。特别注意任何链接,包括参数的URL。
   使用一个代理工具来记录所有的链接访问web应用程序的手册中遍历。
   网站使用浏览器手动探索和分析它是如何构建的。许多浏览器的插件可以促进分析或自动发现。

1. XSS漏洞探测识别潜在入口点:攻击者使用入口点聚集在“探索”阶段作为目标列表和注入各种常见脚本载荷可以确定一个入口点实际上代表一个脆弱和描述在多大程度上可以利用的漏洞。

   技术
   使用XSS探针字符串列表注入脚本参数已知的url。如果可能的话,探测器字符串包含一个惟一的标识符。
   使用一个代理工具记录结果XSS探针的手工输入url。
   使用XSS探针字符串列表界面输入字段注入脚本。如果可能的话,探测器字符串包含一个惟一的标识符。
   使用XSS探针的列表字符串注入脚本资源访问的应用程序。如果可能的话,探测器字符串包含一个惟一的标识符。

1. 窃取会话id,凭证、页面内容等。攻击者成功利用该漏洞,他们可以选择窃取用户的凭证,以便重用或分析。

   技术
   开发恶意JavaScript,注入通过向量确定了在实验阶段和加载受害者的浏览器和文档信息发送给攻击者。
   开发通过向量确定注入恶意JavaScript在实验阶段从攻击者的服务器和接受命令,然后导致浏览器适当地执行。

2. 有力的浏览:当攻击者的目标当前应用程序或另一个(通过CSRF漏洞),用户将被人在毫不知情的情况下完成攻击。这些攻击主要是针对应用程序逻辑缺陷,但它也可以用来创建一个广泛的攻击一个特定的网站用户的当前网络(互联网)。

   技术
   开发恶意JavaScript,注入通过向量确定在实验阶段和由受害者的浏览器加载并执行操作在同一个网站
   开发通过向量确定注入恶意JavaScript在实验阶段从攻击者的服务器和接受命令,然后导致浏览器执行请求其他网站(尤其是CSRF漏洞的web应用程序)。

3. 内容欺骗:通过操作内容,攻击者的目标用户想要的信息的网站。

   技术
   开发恶意JavaScript,注入通过向量确定了在实验阶段和加载受害者的浏览器和暴露attacker-modified无效信息用户对当前web页面。

1. 攻击者发现密码算法的缺点或弱点在它是如何应用于一个特定的块的明文。

1. 攻击者利用发现的弱点来解密,解密部分或推断出一些信息加密消息的内容。所有的都是不知道密钥。