2009年存档
使安全可衡量的简报和展位它安全自动化会议2009 斜接了使安全可衡量的发布会上,举办了一个制作安全可衡量的展台美国国家标准与技术研究院(NIST)第五IT安全自动化年会2009年10月26日至29日,马里兰州的巴尔的摩美国。 参观CAPEC日历这和其他活动的信息。 CAPEC / CWE简报CSI年会 CAPEC CWE /项目经理罗伯特·马丁提出关于CAPEC /简报常见的弱点枚举(CWE™)在CSI年会2009年10月26日至29日,在华盛顿特区,美国。 参观CAPEC日历这和其他活动的信息。 乔治梅森大学CAPEC / CWE简报 CAPEC CWE /项目经理罗伯特·马丁提出关于CAPEC /简报常见的弱点枚举(CWE™)2009年10月27日,作为客座教授在一个IT安全课程在费尔法克斯的乔治梅森大学,美国弗吉尼亚州。 参观CAPEC日历这和其他活动的信息。 CAPEC / CWE简报SC世界大会 CAPEC CWE /项目经理罗伯特·马丁提出关于CAPEC /简报常见的弱点枚举(CWE™)在SC世界大会2009年10月13 - 14日,在纽约,纽约,美国。 参观CAPEC日历这和其他活动的信息。
CAPEC /安全可衡量的展台IT安全自动化会议200910月26日至29日访问, 斜接预定举办使安全可衡量的展位的美国国家标准与技术研究院(NIST)第五IT安全自动化年会2009年10月26日至29日,马里兰州的巴尔的摩美国。 参观CAPEC日历页面信息和其他即将来临的事件。 CAPEC和CWE的话题讨论10日国际通用标准会议 CAPEC CWE /项目负责人罗伯特•马丁和米格尔巴侬代表西班牙通用标准认证机构,2节讨论CAPEC CWE以及版本4通用标准可以利用这两个标准的努力10日国际通用标准会议挪威特罗姆瑟,2009年9月22 - 24。两个谈判的内容反映的一些改进流程的初步结果,将导致下一个主要版本的通用标准。会议本身关注的演变和增强的通用标准和社区组织工作。 参观CAPEC日历页面信息和其他即将来临的事件。 使安全条可衡量的主要话题相声,国防工程杂志》上 一篇文章题为“使安全可衡量的和可控的”CAPEC CWE /项目经理罗伯特·马丁发表在9月/ 2009年10月的问题相声,国防工程杂志》上。 这篇文章解释了可测量的安全性和自动化可以通过政府和公众的努力解决创建,采用,操作,和维护他们的信息安全基础设施以整体的方式和通过使用普遍,标准化的概念来定义数据(CVE,CCE,CPECAPEC,CWE交流等等),这些信息通过标准化语言(椭圆形,XCCDF,中东欧等),以标准化的方式共享信息(椭圆形的库,NVD等),和采用的工具和服务,遵守这些标准。 CAPEC / CWE简报8年QAI & QAAM区域会议 CAPEC / CWE联合创始人兼建筑师肖恩·巴纳姆提出关于CAPEC /简报常见的弱点枚举(CWE™)在8年QAI & QAAM区域会议美国马里兰州巴尔的摩,2009年9月研讨会。 参观CAPEC日历页面信息和其他即将来临的事件。 CAPEC / CWE简报2009年美国国家安全局NIAP CCEVS验证器车间 CAPEC CWE /项目经理罗伯特·马丁提出关于CAPEC /简报常见的弱点枚举(CWE™)在2009年美国国家安全局NIAP CCEVS验证器车间2009年9月10日在林西克姆,美国马里兰州。 参观CAPEC日历页面信息和其他即将来临的事件。
现在CAPEC列表1.4版本可用 CAPEC 1.4版本已经发布在CAPEC列表页面。这个新版本包括大规模更新CAPEC模式以及显著的增加,改进和完善现有的CAPEC内容。 CAPEC模式 清单每个细微变化模式需要太长所以以下概述了重大变化的模式都包含在这个版本。
- 通用跨CAPEC模式的所有领域的变化。
- 字符串字段是为了捕捉复杂的文本数据已经从简单的字符串转换为一个新的Structured_Text_Type将使结构化的文本数据包括标题,分段,代码片段,和图像引用。
- 所有的元素可以有多个条目现在封装在复数容器元素的一致性。
- 根元素的模式已经改变了从Common_Attack_Pattern_Enumeration涵盖面更广Attack_Pattern_Catalog使用属性来捕获名称、版本和日期。这将帮助我们更好地管理CAPEC的持续增长和成熟。
- 两个全新的概念被添加到模式支持增强的攻击模式针对额外的描述用例CAPEC内容:Attack_Surfaces和可见。
- Attack_Surfaces——Target_Attack_Surface元素添加一个介绍性的试图捕捉和交流的本质目标表面,一个给定的攻击模式关注。这可以使更好的粒度内模式,允许不同模式的子元素来引用区域攻击相关的表面。它还可以支持更好的模块化和重用的攻击模式在建筑风险分析。这很好理解第一次削减攻击表面结构是有限的,需要扩张/增强。预计,这个结构将随着时间的推移获得更多的广度和细化。第一个削减主要目的是支持的网络攻击模式CAPEC内容。
- 可见——可见元素被添加作为一个整合的第一步CAPEC自上而下的观点的攻击模式的自底向上的视图安全操作和事件响应社区。目标是使某些CAPEC子元素的标记(如Attack_Step, Attack_Step_Technique,结果,Security_Control)与客观数据签名时,会通过各种操作传感器可观测事件发生时或者财产。集成这两个领域在他们共同的焦点轴(“攻击”)很有可能这两个社区受益。
- 一些新的高层对象类型添加到除了Attack_Patterns CAPEC目录。
- 的观点——创建了视图对象允许捕获和表示上的多个不同的视角CAPEC内容及其相互关系。这些视图对象非常相似常见的弱点枚举(CWE™)。
- 类别——创建类对象作为一个攻击模式集合共享一个共同的属性,比如capec - 172时间和攻击或状态capec - 212功能滥用。这些类别与CWE对象非常相似。
- 复合元素——Compound_Element对象创建捕获和参考的攻击模式在业界被给定的名称,但实际上,由多个攻击模式的组合在连续或不连续的方式执行。按顺序执行捕获攻击模式链而不连续的执行模式是捕获为复合材料。Compound_Element对象链和复合材料味道非常类似于CWE Compound_Element对象。
- 添加了两个新的全球抽象对象类型CAPEC目录,使更有效和高效的公共内容跨模式的重用:Common_Attack_Steps和Common_Attack_Surfaces。
- 常见的攻击步骤被添加到捕获的内容共享的攻击步骤的基本形式在众多的攻击模式。通过抽象出来,我们可以简化管理的内容在一个地方同时减少冗余和总体规模CAPEC内容的文件。
- 常见的攻击表面被添加到抽象和捕获特定的普通攻击表面,可能是由多个目标攻击模式。像常见的攻击步骤,通过抽象出来,我们可以简化管理的内容在一个地方同时减少冗余和总体规模CAPEC内容的文件。
- 大范围的改进和增加了的Attack_Patterns部分CAPEC模式。这些变化包括:
- 新Pattern_Completeness属性值(钩)捕获命名的攻击模式,还没有基本描述信息来让他们存根。现在顶级Attack_Pattern子元素都是可选的钩子来支持模式。
- 新状态属性(值=弃用,不完整,草案,可用,或稳定)沟通的成熟度级别的创建/编辑在一个特定的模式或其他高级对象。
- 所有主要的元素攻击执行流和Target_Attack_Surfaces现在有id分配(在一个更简单的整数比前面的字母数字的格式)。这些一致的IDs产生参考各种单独的执行线程的能力通过给定的攻击模式或引用个别项目在这些线程。这是一个关键的功能改善的有效性CAPEC作为测试用例枚举工具和能力参考攻击工具的比较和评估。
- Attack_Step闯入了一个选择Common_Attack_Step或Custom_Attack_Step使上述Common_Attack_Steps带来的效率。Common_Attack_Step允许引用Common_Attack_Step定义一个全局的ID,然后提供pattern-specific覆盖字段值的普通攻击步骤定义专门为当地风味。
- Attack_Step现在允许指定可见Attack_Step(如上所述)
- Attack_Step_Technique现在允许引用的杠杆攻击模式和相关的攻击表面元素(可以参考各种元素中定义的攻击表面模式),以及指定可见(如上所述)的技术
- 指示器现在允许引用相关的攻击表面元素。
- 结果现在允许引用相关的攻击表面元素以及指定可见(如上所述)的结果。
- Security_Control现在允许引用相关的攻击表面元素以及指定可见Security_Control(如上所述)。
- 新元素Alternate_Terms添加到捕捉其他名字这种攻击模式可能被称为。
- Example-Instance现在有一个引用元素使捕获Example-Instance的参考。
- Attack_Skill_or_Knowledge_Required现在结构分成两个子元素,Skill_or_Knowledge_Level(低,中,高)Skill_or_Knowledge_Type(Structured_Text_Type)而不是一个简单的文本字符串,以便使更多的结构化内容操作。
- Related_Attack_Pattern现在的普遍吗Relationship_Type(与视图、类别和Compound_Elements)捕获CAPEC inter-object关系以一致的方式。
- 冗余Context_Description字段被移除和集成到所有内容Technical_Context元素。
- 的参考元素已经被重组成一个更全面和描述性的结构。
- 一个新的Other_Notes元素添加到提供任何额外或评论指出,不能使用其他元素被捕获。新元素被定义在未来可能包含这些信息。
- 一个新的Maintenance_Notes元素被添加到包含重要的维护任务仍需要解决在这个条目,如澄清所涉及的概念或改善关系。应该填写在任何条目,仍在进行重要的审查由CAPEC团队。
- 的源元素转化为更全面Content_History元素更好地跟踪这个条目的改变历史。
CAPEC内容 这个版本的CAPEC内容有三个主要变化和一个小变化。 主要变化:
- 所有现有CAPEC内容被转换为符合大规模更新模式。
- 攻击分类的内容在过去一直是托管在一个单独的文件比CAPEC模式内容已经完全融入CAPEC使用视图和关系。这意味着所有内容现在在单个文件简化使用的内容。
- 现在新的内容包括23个新的网络攻击模式利用新的攻击表面元素。虽然CAPEC继续专注于常见的攻击方法软件,它是意识到的许多次要攻击模式参与软件攻击(特别是在侦察阶段)实际上是网络攻击模式。使CAPEC更有用通过捕捉这些网络攻击模式,以及他们如何与软件攻击模式,我们计划在将来的版本中继续努力,也许75年总网络攻击模式包括在今年年底。
小的变化:
- 在整合的过程中攻击分类到CAPEC内容的关系,我们能够清理大量的错误的关系已有的内容。
评论是欢迎的CAPEC研究员电子邮件讨论列表。未来的更新将会指出CAPEC人员名单。
CAPEC 1.3.2现有版本列表 1.3.2 CAPEC版本已经发布在CAPEC列表页面。这个新版本包括一个小attack_taxonomy更新。 评论是欢迎的CAPEC研究员电子邮件讨论列表。未来的更新将会指出CAPEC人员名单。
CAPEC / CWE简报2009年美国国家安全局NIAP CCEVS验证器车间,9月10日 CAPEC CWE /项目经理罗伯特·马丁将简报CAPEC /常见的弱点枚举(CWE™)在2009年美国国家安全局NIAP CCEVS验证器车间2009年9月10日在林西克姆,美国马里兰州。 参观CAPEC日历页面信息和其他即将来临的事件。 CAPEC / CWE简报10日国际通用标准会议9月研讨会 CAPEC CWE /项目经理罗伯特·马丁将简报CAPEC /常见的弱点枚举(CWE™)在10日国际通用标准会议2009年9月研讨会,在特罗姆瑟,挪威。 参观CAPEC日历页面信息和其他即将来临的事件。 CAPEC / CWE简报8年QAI & QAAM区域会议9月研讨会 CAPEC / CWE联合创始人兼建筑师肖恩·巴纳姆计划简报CAPEC /常见的弱点枚举(CWE™)在8年QAI & QAAM区域会议美国马里兰州巴尔的摩,2009年9月研讨会。 参观CAPEC日历页面信息和其他即将来临的事件。 使安全可衡量的和CAPEC / CWE简报GFIRST5:网络安全的五大支柱 CAPEC CWE /项目经理罗伯特·马丁提出了一个简报使安全可衡量的和联合创始人兼架构师肖恩·巴纳姆和罗伯特·马丁CAPEC /吹风会常见的弱点枚举(CWE™)在GFIRST5:网络安全的五大支柱2009年8月28,在亚特兰大,乔治亚州,美国。 参观CAPEC日历页面信息和其他即将来临的事件。
斜接主机的使安全可衡量的展台黑帽简报2009 CAPEC参加了一个使安全可衡量的布斯在黑帽简报20092009年7月29 - 30日,在拉斯维加斯的凯撒宫拉斯维加斯,内华达州,美国。 与会者学习信息安全数据标准促进有效的安全过程的协调和使用自动化评估、管理和改善企业安全信息基础设施的安全状况。见下面的照片:
参观CAPEC日历页面信息和其他即将来临的事件。
CAPEC 1.3.1版本列表 1.3.1 CAPEC版本已经发布在CAPEC列表页面。这个新版本包括小的改进和完善现有的CAPEC内容以及一些添加的主要亮点包括:清理的内容准确性、清晰性和一致性一组有限的现有的内容;更新和完善相关条目的攻击模式的映射常见的弱点枚举(CWE™)专门针对添加更好的映射CWE /无排名前25位列表;除了26个新撰写的攻击模式存根组成的一组分配CAPEC-ID号码和一个最小的模式内容(描述、Attack_Prerequisites Typical_Severity Resources_Required),使每个模式识别和歧视,包括17从现有CAPEC攻击分类以及9更处理软件完整性的攻击;小修改CAPEC内容模式(v1.8.1)和CAPEC分类模式(v1.1.1);清理,细化和补充CAPEC攻击分类包括一些重组和添加一个新的顶级条目“分析攻击。” 下面列出了这个版本的新模式。 新的攻击模式存根: capec - 184软件完整性的攻击
capec - 185恶意软件下载
capec - 186恶意软件更新
capec - 187恶意自动化的软件更新
capec - 188反向工程
capec - 189软件逆向工程
capec - 190反向工程可执行公开假设隐藏的功能或内容
capec - 191读敏感刺在一个可执行文件
capec - 192协议逆向工程
capec - 193远程文件包含PHP
capec - 194假数据的来源
capec - 195主要欺骗
通过锻造capec - 196会话证书造假
capec - 197 XEE (XML实体扩张)
capec - 198跨站点脚本错误页面
capec - 199跨站点脚本使用替代语法
capec - 200删除过滤器:输入过滤器,输出过滤器,屏蔽数据
capec - 201外部实体攻击
capec - 202创建恶意客户端
capec - 203操作应用程序注册表值
capec - 204提升缓存敏感数据嵌入到客户分布(厚或薄)
capec - 205提升凭据(s) /关键材料嵌入到客户分布(厚或薄)
capec - 206提升签名密钥和签名恶意代码从一个生产环境
capec - 207把重要的功能从客户端
capec - 208删除/短路“钱包”逻辑:删除/变异“现金”的精神性
capec - 209跨站点脚本使用MIME类型不匹配 评论是欢迎的CAPEC研究员电子邮件讨论列表。未来的更新将会指出CAPEC人员名单。
现在CAPEC列表1.3版本可用 CAPEC 1.3版本已经发布在CAPEC列表页面。这个新版本包含一个很大的改善和优化现有的CAPEC内容以及添加大量的新的和有用的内容。 突出了对这个版本包括:清理的内容准确性、清晰性和一致性一系列现有的内容;更新和完善相关条目的攻击模式的映射常见的弱点枚举(CWE™);增加11新撰写完整的攻击模式;16更新现有模式,增强“攻击流”描述(总数的增强模式41);除了71新撰写的攻击模式的存根(从CAPEC攻击分类)组成的一组分配CAPEC-ID号码和一个最小的模式内容(描述、Attack_Prerequisites Typical_Severity Resources_Required),使每个模式的识别和歧视;次要的修改添加Pattern_Completeness CAPEC模式的属性对于每个模式允许容易攻击模式存根和完整的攻击模式之间的歧视;和清理,细化,增加CAPEC攻击分类。 这个版本的新功能和增强模式下面列出。 新添加的全面攻击模式: 会话Sidejacking capec - 102
capec - 103“点击劫持”
capec - 104跨区域脚本
capec - 105 HTTP请求分割
capec - 106跨站脚本通过日志文件
capec - 107跨站跟踪
capec - 108通过SQL注入命令行执行
capec - 109对象关系映射注入
capec - 110 SQL注入通过SOAP参数篡改
capec - 111 - JSON劫持(又名JavaScript劫持)
capec - 112蛮力 更新攻击模式,增强“攻击流”的描述: CAPEC-6——参数注入
CAPEC-11——导致Web服务器错误分类
capec - 86嵌入脚本攻击(XSS)在HTTP头
CAPEC-32 - HTTP查询字符串中嵌入脚本
CAPEC-18——Nonscript嵌入脚本元素
CAPEC-19——在脚本中嵌入脚本
CAPEC-33 - HTTP请求走私
CAPEC-34 - HTTP响应分裂
capec - 76操作文件系统调用的输入
capec - 63简单的脚本注入
CAPEC-41——电子邮件标题中使用元字符注入恶意载荷
capec - 71使用Unicode编码绕过验证逻辑
capec - 80使用utf - 8编码绕过验证逻辑
篡改capec - 81 Web日志
capec - 84 XQuery注入
capec - 91 XSS在IMG标记 新的攻击模式存根: capec - 113 API滥用或误用
滥用capec - 114认证
capec - 115认证绕过
capec - 116数据挖掘的攻击
capec - 117数据拦截攻击
capec - 118数据泄漏的攻击
capec - 119资源耗竭
capec - 120双编码
capec - 121定位和利用测试api
capec - 122开发授权
capec - 123缓冲区攻击
通过共享数据capec - 124攻击
capec - 125通过洪水资源耗竭
capec - 126路径遍历
capec - 127目录索引
capec - 128整数的攻击
capec - 129指针攻击
capec - 130通过分配资源耗竭
通过泄漏capec - 131资源枯竭
capec - 132符号链接攻击
capec - 133尝试所有常见的应用程序开关和选项
capec - 134电子邮件注入
capec - 135格式字符串注入
capec - 136 - LDAP注入
capec - 137参数注入
capec - 138反射注入
capec - 139相对路径遍历
capec - 140绕过中间形式的多个表单集
capec - 141缓存中毒
capec - 142 DNS缓存中毒
capec - 143检测未公开的Web页面
capec - 144检测未公开的Web服务
capec - 145校验和欺骗
capec - 146 XML Schema中毒
capec - 147 XML萍死亡
capec - 148内容欺骗
capec - 149勘探可预测的临时文件名称
capec - 150公共资源位置探索
capec - 151身份欺骗(模拟)
capec - 152针(注射控制平面内容通过数据平面)
capec - 153输入数据操作
capec - 154资源位置的攻击
capec - 155屏幕敏感信息的临时文件
capec - 156欺骗
capec - 157嗅探攻击
capec - 158信息送到公共/多播网络嗅探
capec - 159重定向进入图书馆
capec - 160编程包括基于脚本api
capec - 161基础设施操作
capec - 162操作隐藏字段改变交易的正常流动(eShoplifting)
capec - 163鱼叉式网络钓鱼
capec - 164移动网络钓鱼(又名MobPhishing)
capec - 165文件处理
capec - 166力系统复位值
capec - 167提升敏感数据从客户端
capec Windows - 168::数据替代数据流
capec - 169的碳足迹
指纹capec - 170 Web服务器/应用程序
capec - 171操纵变量
capec - 172攻击的时间和状态
capec - 173行动欺骗
capec - 174 Flash参数注入
capec - 175代码内容
capec - 176配置/操作环境
capec - 177创建文件同名的文件保护具有更高的分类
capec - 178跨站点闪烁
capec - 179发现,查询,最后调用micro-services,如w / AJAX
capec - 180利用错误配置访问控制的安全水平
capec - 181 Flash文件覆盖
capec - 182 Flash注入
capec - 183 IMAP / SMTP命令注入 评论是欢迎的CAPEC研究员电子邮件讨论列表。未来的更新将会指出CAPEC人员名单。
CAPEC清单版本1 CAPEC版本1已经发布在CAPEC列表页面。101年的初始内容包括攻击模式覆盖广泛的攻击类型和层次的抽象以及类别分类的一个初稿。这种攻击分类仍然是非常紧急,旨在传达的攻击类型之间的关系,并提供一个潜在的目标攻击模式创建列表。因此,这不仅包含初稿已经创建的101年模式,但也广泛的其他攻击类型,可以捕获攻击模式在未来。 的类别分类可用的CAPEC列表中的部分CAPEC网站作为一个可扩展的HTML树与创建的模式。模式本身可以通过分类,通过一个完整的字母清单,通过一个单独的ID搜索机制或使用页面通过CAPEC-ID来解决。 评论是欢迎的CAPEC研究员电子邮件讨论列表。未来的更新将会指出CAPEC人员名单。
斜接启动CAPEC网站 斜方已经启动了一个新的网站支持常见的攻击模式枚举和表征(CAPEC)努力像CWE资助的美国国土安全部的一部分软件保证战略主动国家网络安全部门。由Cigital公司。,CAPEC同伴的努力CWECAPEC是构建和形式化攻击模式的讨论,用来对付CWE描述的缺点。 CAPEC的目的是提供一个公开目录的攻击模式和综合模式和类别分类。在这个初始审核期CAPEC网站是托管模式和草案内容,需要软件社区的成员注册以访问信息和提供意见。这样目录将继续发展与公众参与和贡献安全形成一个标准的机制来识别、收集、提炼和共享软件社区之间的攻击模式。 请发送任何评论或问题capec@mitre.org。
|
