V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
T1456Mobile
Матрица: Mobile
Статус: Активная
STIX: 19.0
Источник ↗

Компрометация при посещении веб-сайта

Злоумышленники могут получить доступ к системе, когда пользователь посещает веб-сайт в ходе обычного веб-сёрфинга. При использовании этой техники целью эксплуатации, как правило, является веб-браузер пользователя, однако злоумышленники также могут использовать скомпрометированные веб-сайты для действий, не связанных с эксплуатацией уязвимостей, — например, для получения токена доступа приложения. Существует несколько способов доставки эксплойт-кода в браузер: * Легитимный веб-сайт скомпрометирован, и злоумышленники внедрили на него вредоносный код — JavaScript, iFrame, межсайтовые скрипты. * Вредоносная реклама оплачивается и распространяется через легитимные рекламные платформы. * Встроенные интерфейсы веб-приложений используются для размещения объектов, отображающих веб-контент или содержащих скрипт, выполняемый на устройстве посетителя (например, записи на форумах, комментарии и прочий пользовательский контент). Нередко веб-сайт, используемый злоумышленником, посещает определённое сообщество — государственные органы, конкретная отрасль или регион — с целью компрометации конкретного пользователя или группы пользователей, объединённых общими интересами. Такая целевая атака называется стратегической веб-компрометацией или атакой типа «водопой». Существует несколько известных задокументированных примеров подобных атак. Типичная схема компрометации при посещении веб-сайта: 1. Пользователь посещает веб-сайт, на котором размещён контент, контролируемый злоумышленником. 2. Скрипты выполняются автоматически, как правило проверяя версии браузера и подключаемых модулей на наличие потенциально уязвимых версий. * От пользователя может потребоваться участие в этом процессе: включение скриптов или активного веб-контента и игнорирование предупредительных диалоговых окон. 3. При обнаружении уязвимой версии эксплойт-код доставляется в браузер. 4. В случае успешной эксплуатации злоумышленник получает возможность выполнения кода в системе пользователя, если только не установлены дополнительные средства защиты. * В некоторых случаях для доставки эксплойт-кода требуется повторное посещение веб-сайта после первоначального сканирования.

Тактики

Первоначальный доступ

Платформы

AndroidiOS

Меры защиты

M1001
Обновления безопасности
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

Затронутые уязвимости (выводимые)

Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.