Функция gpg_ctx_add_recipient в camel/camel-gpg-context.c в GNOME Evolution 3.8.4 и более ранних версиях и Evolution Data Server 3.9.5 и бо…
Функция gpg_ctx_add_recipient в camel/camel-gpg-context.c в GNOME Evolution 3.8.4 и более ранних версиях и Evolution Data Server 3.9.5 и более ранних версиях неправильно выбирает ключ GPG для использования для шифрования электронной почты, что может привести к шифрованию электронной почты неверным ключом и позволить удаленным злоумышленникам получить конфиденциальную информацию.
Продукт раскрывает конфиденциальную информацию субъекту, которому явно не предоставлен доступ к этой информации.
https://cwe.mitre.org/data/definitions/200.html →Открыть в коллекции CWE →Программный продукт выполняет сравнение двух объектов в контексте, значимом для безопасности, однако сравнение выполняется некорректно.
https://cwe.mitre.org/data/definitions/697.html →Открыть в коллекции CWE →Некоторые API удаляют определённые ведущие символы из строки параметров. Злоумышленник может намеренно вставлять ведущие «фантомные» символы (дополнительные символы, не влияющие на корректность запроса на уровне API), которые позволяют входным данным пройти фильтры и тем самым обрабатываются API целевого ресурса. Это происходит, когда целевой API принимает входные данные в нескольких синтаксических формах и интерпретирует их семантически одинаково, тогда как фильтр не учитывает полный спектр синтаксических форм, допустимых для целевого API.
https://capec.mitre.org/data/definitions/3.html →Открыть в коллекции CAPEC →Злоумышленник изменяет поведение или состояние целевого приложения путём внедрения данных или синтаксиса команд через непроверяемые и нефильтруемые аргументы открытых сервисов или методов.
https://capec.mitre.org/data/definitions/6.html →Открыть в коллекции CAPEC →Слепое внедрение SQL-кода является следствием недостаточного противодействия внедрению SQL-кода. Хотя подавление сообщений об ошибках базы данных считается надлежащей практикой, одного лишь подавления недостаточно для предотвращения SQL-инъекций. Слепое внедрение SQL-кода — это форма SQL-инъекции, преодолевающая отсутствие сообщений об ошибках. Не имея сообщений об ошибках, которые облегчают SQL-инъекцию, злоумышленник формирует входные строки, зондирующие цель с помощью простых булевых SQL-выражений. Злоумышленник может определить, было ли синтаксически и структурно корректно выполнено внедрение, на основании того, был ли выполнен запрос. Применяя этот метод итеративно, злоумышленник определяет, как и где цель уязвима к SQL-инъекции.
https://capec.mitre.org/data/definitions/7.html →Открыть в коллекции CAPEC →Данная атака направлена на библиотеки или модули совместного кода, уязвимые к атакам типа «переполнение буфера». Злоумышленник, знающий об известных уязвимых библиотеках или совместном коде, может легко атаковать программное обеспечение, использующее эти библиотеки. Все клиенты, использующие данную кодовую библиотеку, становятся уязвимыми по ассоциации. Это оказывает широкое влияние на безопасность системы, как правило затрагивая более одного программного процесса.
https://capec.mitre.org/data/definitions/8.html →Открыть в коллекции CAPEC →Данная атака направлена против утилит командной строки, доступных во многих командных оболочках. Злоумышленник может использовать уязвимость в утилите командной строки для повышения привилегий до уровня root.
https://capec.mitre.org/data/definitions/9.html →Открыть в коллекции CAPEC →Данный шаблон атаки предполагает вызов переполнения буфера путём манипуляции переменными окружения. Обнаружив возможность изменить переменную окружения, злоумышленник может попытаться переполнить связанные с ней буферы. Атака использует неявное доверие, которое нередко оказывается переменным окружения.
https://capec.mitre.org/data/definitions/10.html →Открыть в коллекции CAPEC →Злоумышленник прямо или косвенно изменяет переменные окружения, используемые целевым программным обеспечением или управляющие им. Цель злоумышленника состоит в том, чтобы заставить целевое программное обеспечение отклониться от ожидаемого поведения способом, выгодным злоумышленнику.
https://capec.mitre.org/data/definitions/13.html →Открыть в коллекции CAPEC →Данный тип атаки эксплуатирует уязвимость переполнения буфера в клиентском программном обеспечении путём внедрения вредоносного содержимого из специально созданного враждебного сервиса. Враждебный сервис создаётся для доставки нужного содержимого клиентскому программному обеспечению. Например, если клиентским приложением является браузер, сервис будет хостить веб-страницу, которую браузер загрузит.
https://capec.mitre.org/data/definitions/14.html →Открыть в коллекции CAPEC →Атака данного типа эксплуатирует уязвимости программы, позволяющие злоумышленнику конкатенировать собственные команды с легитимными командами с целью атаки на другие ресурсы, такие как файловая система или база данных. Система, использующая фильтр или проверку входных данных на основе списка запрещённых значений, в отличие от проверки на основе разрешающего списка, уязвима для злоумышленника, способного предсказывать разделители (или их комбинации), отсутствующие в фильтре или списке запрещённых значений. Как и другие атаки внедрения, злоумышленник использует полезную нагрузку с разделителем команд в качестве точки входа для туннелирования через приложение и активации дополнительных атак посредством SQL-запросов, команд командного интерпретатора, сетевого сканирования и т. д.
https://capec.mitre.org/data/definitions/15.html →Открыть в коллекции CAPEC →Атака данного типа эксплуатирует уязвимости в аутентификации канала взаимодействия клиент/сервер и целостности данных. Она использует неявное доверие, которое сервер оказывает клиенту, или, что важнее, тому, кого сервер считает клиентом. Злоумышленник реализует данный тип атаки, взаимодействуя напрямую с сервером, который при этом полагает, что общается только с действительным клиентом. Существует множество разновидностей данного типа атак.
https://capec.mitre.org/data/definitions/22.html →Открыть в коллекции CAPEC →В данной атаке цель состоит в том, чтобы вызвать отказ активного фильтра путём создания чрезмерно большой транзакции. Злоумышленник может попытаться передать программе слишком длинные входные строки, чтобы перегрузить фильтр (вызвав переполнение буфера) в надежде, что фильтр не выйдет из строя безопасным образом (то есть пользовательский ввод попадёт в систему без фильтрации).
https://capec.mitre.org/data/definitions/24.html →Открыть в коллекции CAPEC →Данный тип атаки предполагает использование злоумышленником метасимволов в заголовках электронных писем для внедрения нежелательного поведения в почтовые программы. Программное обеспечение для работы с электронной почтой становится всё более сложным и многофункциональным. Кроме того, почтовые приложения повсеместно распространены и напрямую связаны с интернетом, что делает их идеальными целями для запуска и распространения атак. По мере того как пользовательский спрос на новую функциональность почтовых приложений растёт, они всё больше напоминают браузеры со сложными процедурами рендеринга и подключаемыми модулями. По мере включения в почтовые приложения всё большей функциональности и её сокрытия от пользователя злоумышленники получают новые возможности. Фактически все почтовые приложения по умолчанию не отображают информацию из заголовков электронных писем, однако заголовок письма содержит ценные векторы атаки для злоумышленника — особенно если поведение почтового клиента известно. Метасимволы скрыты от пользователя, но могут содержать скрипты, перечисления, зонды и другие атаки против системы пользователя.
https://capec.mitre.org/data/definitions/41.html →Открыть в коллекции CAPEC →Злоумышленник передаёт целевому программному обеспечению входные данные, содержащие последовательности специальных символов, предназначенные для обхода логики проверки входных данных. Атака основана на том, что целевая система выполняет несколько проходов по входным данным, обрабатывая «слой» специальных символов на каждом проходе. Таким образом злоумышленник может замаскировать входные данные, которые в противном случае были бы отклонены как недопустимые, скрыв их за слоями специальных символов и экранирующих последовательностей, удаляемых последующими этапами обработки. Цель состоит в том, чтобы сначала обнаружить случаи, когда уровень проверки входных данных выполняется до одного или нескольких уровней синтаксического анализа. То есть пользовательский ввод может проходить через следующую логику приложения: <parser1> --> <input validator> --> <parser2>. В таких случаях злоумышленнику необходимо предоставить входные данные, которые пройдут через валидатор входных данных, но после прохождения через parser2 будут преобразованы в нечто, что валидатор должен был заблокировать.
https://capec.mitre.org/data/definitions/43.html →Открыть в коллекции CAPEC →Атака данного типа эксплуатирует уязвимость переполнения буфера при обработке двоичных ресурсов. К двоичным ресурсам относятся музыкальные файлы (например, MP3), файлы изображений (например, JPEG) и любые другие двоичные файлы. Подобные атаки могут остаться незамеченными для клиентской машины в ходе обычного использования файлов, например при загрузке внешне безобидного JPEG-файла браузером. Это позволяет злоумышленнику получить доступ к стеку выполнения и выполнить произвольный код в целевом процессе.
https://capec.mitre.org/data/definitions/44.html →Открыть в коллекции CAPEC →Данный тип атаки использует символические ссылки для вызова переполнения буфера. Злоумышленник может попытаться создать или модифицировать файл символической ссылки таким образом, чтобы её содержимое привело к выходу данных за пределы допустимого диапазона. Когда целевое программное обеспечение обрабатывает файл символической ссылки, оно потенциально может переполнить внутренние буферы из-за недостаточной проверки границ.
https://capec.mitre.org/data/definitions/45.html →Открыть в коллекции CAPEC →Данный тип атаки использует теги или переменные из форматированных конфигурационных данных для вызова переполнения буфера. Злоумышленник создаёт вредоносную HTML-страницу или файл конфигурации с чрезмерно длинными строками, что приводит к переполнению.
https://capec.mitre.org/data/definitions/46.html →Открыть в коллекции CAPEC →В данной атаке целевому программному обеспечению передаются входные данные, которые злоумышленник заранее знает будут изменены и увеличены в размере в процессе обработки. Атака основана на том, что целевое программное обеспечение не предусматривает возможность превышения расширенными данными некоторого внутреннего предела, что приводит к переполнению буфера.
https://capec.mitre.org/data/definitions/47.html →Открыть в коллекции CAPEC →Злоумышленник внедряет один или несколько нулевых байтов во входные данные целевого программного обеспечения. Данная атака использует применение байта с нулевым значением в качестве терминатора строки во многих средах. Цель состоит в том, чтобы отдельные компоненты целевого программного обеспечения прекратили обработку входных данных при обнаружении нулевого байта (нулевых байтов).
https://capec.mitre.org/data/definitions/52.html →Открыть в коллекции CAPEC →Если строка проходит через фильтр какого-либо вида, терминальный NULL может оказаться недопустимым. Использование альтернативного представления NULL позволяет злоумышленнику внедрить NULL в середину строки, при этом добавив в конце корректные данные для обхода фильтра. Одним из примеров является фильтр, проверяющий наличие завершающей косой черты. Если внедрение строки возможно, но косая черта обязательна, в середине строки может быть использовано альтернативное кодирование NULL.
https://capec.mitre.org/data/definitions/53.html →Открыть в коллекции CAPEC →Данная атака направлена на предсказуемые идентификаторы сеанса с целью получения привилегий. Злоумышленник может предсказать идентификатор сеанса, используемый во время транзакции, и применить его для подделки личности и перехвата сеанса.
https://capec.mitre.org/data/definitions/59.html →Открыть в коллекции CAPEC →Данная атака направлена на повторное использование действительного идентификатора сеанса для подделки личности в целевой системе и получения привилегий. Злоумышленник пытается повторно использовать похищенный идентификатор сеанса, применявшийся ранее в транзакции, для подделки личности и перехвата сеанса. Другое название этого типа атаки — воспроизведение сеанса.
https://capec.mitre.org/data/definitions/60.html →Открыть в коллекции CAPEC →Данная атака использует кодирование URL в сочетании с кодированием символов слеша. Злоумышленник может воспользоваться множеством способов кодирования URL и злоупотребить его интерпретацией. URL может содержать специальные символы, требующие особой синтаксической обработки для правильной интерпретации. Специальные символы представляются с помощью символа процента, за которым следуют две цифры, обозначающие код октета исходного символа (%HEX-КОД). Например, пробел в US-ASCII представляется как %20. Это часто называют экранированием или процентным кодированием. Поскольку сервер декодирует URL из запросов, он может ограничивать доступ к некоторым путям URL, проверяя и отфильтровывая полученные URL-запросы. Злоумышленник попытается сформировать URL с последовательностью специальных символов, которая после интерпретации сервером окажется эквивалентна запрещённому URL. Защититься от данной атаки непросто, поскольку URL может содержать другие форматы кодирования, такие как UTF-8, Unicode и т. д.
https://capec.mitre.org/data/definitions/64.html →Открыть в коллекции CAPEC →Данная атака направлена на приложения и программное обеспечение, небезопасно использующее функцию syslog(). Если приложение явно не задаёт параметр строки формата в вызове syslog(), пользовательский ввод может быть помещён в этот параметр, что приводит к атаке через форматную строку. Злоумышленники могут внедрять вредоносные команды форматной строки в вызов функции, вызывая переполнение буфера. Существует множество зафиксированных уязвимостей программного обеспечения, коренной причиной которых является неправильное использование функции syslog().
https://capec.mitre.org/data/definitions/67.html →Открыть в коллекции CAPEC →Злоумышленник может передавать Unicode-строку компоненту системы, не поддерживающему Unicode, и использовать её для обхода фильтра или сбоя классифицирующего механизма при правильной интерпретации запроса. Это может позволить злоумышленнику передать вредоносные данные через фильтр содержимого и/или вызвать некорректную маршрутизацию запроса приложением.
https://capec.mitre.org/data/definitions/71.html →Открыть в коллекции CAPEC →Атака данного типа предполагает внедрение злоумышленником вредоносных символов (например, XSS-перенаправления) в имя файла — напрямую или косвенно — которое затем используется целевым программным обеспечением для формирования HTML-текста или иного потенциально исполняемого содержимого. Многие веб-сайты используют пользовательский контент и динамически строят ресурсы, такие как файлы, имена файлов и URL-ссылки, непосредственно из данных, введённых пользователем. В данном шаблоне атаки злоумышленник загружает код, способный выполняться в клиентском браузере и/или перенаправлять клиентский браузер на подконтрольный злоумышленнику сайт. Для передачи и эксплуатации этих уязвимостей могут использоваться все варианты полезных нагрузок XSS.
https://capec.mitre.org/data/definitions/73.html →Открыть в коллекции CAPEC →Данная атака использует обратный слеш в альтернативных кодировках. Злоумышленник может использовать обратный слеш в качестве первого символа, вынуждая парсер считать следующий символ специальным. Это называется экранированием. Используя данный приём, злоумышленник пытается эксплуатировать альтернативные способы кодирования одного и того же символа, что создаёт проблемы для фильтров и открывает пути для атак.
https://capec.mitre.org/data/definitions/78.html →Открыть в коллекции CAPEC →Данная атака направлена на кодирование символов слеша. Злоумышленник пытается эксплуатировать распространённые проблемы фильтрации, связанные с использованием символов слеша, для получения доступа к ресурсам на целевом хосте. Системы на основе каталогов, такие как файловые системы и базы данных, как правило, используют символ слеша для обозначения перехода между каталогами или другими контейнерными компонентами. По неоднозначным историческим причинам ПК (и, как следствие, ОС Microsoft) используют обратный слеш, тогда как мир UNIX традиционно применяет прямой слеш. Шизофренический результат таков, что многие MS-системы обязаны понимать обе формы слеша. Это предоставляет злоумышленнику множество возможностей для обнаружения и использования распространённых проблем фильтрации. Цель данного шаблона — обнаружить серверное программное обеспечение, применяющее фильтры только к одному варианту, но не другому.
https://capec.mitre.org/data/definitions/79.html →Открыть в коллекции CAPEC →Данная атака является специфическим вариантом использования альтернативных кодировок для обхода логики проверки. Атака использует возможность кодирования потенциально опасного ввода в UTF-8 и передачи его приложениям, не ожидающим или неспособным эффективно проверять данный стандарт кодирования, что затрудняет фильтрацию ввода. UTF-8 (8-битный формат преобразования UCS/Unicode) — это кодировка переменной длины для Unicode. Корректные символы UTF-8 имеют длину от одного до четырёх байтов. Однако в ранних версиях спецификации UTF-8 содержались ошибки (в ряде случаев допускались расширенные символы). Кодировщики UTF-8 должны использовать «как можно более короткое» кодирование, однако наивные декодеры могут принимать кодирования длиннее необходимого. В соответствии с RFC 3629, особенно тонкая форма данной атаки может быть проведена против парсера, выполняющего критически важные для безопасности проверки корректности в отношении UTF-8-кодированного вида ввода, но интерпретирующего определённые недопустимые последовательности октетов как символы.
https://capec.mitre.org/data/definitions/80.html →Открыть в коллекции CAPEC →При данном типе атаки злоумышленник внедряет команды операционной системы в существующие функции приложения. Уязвимым является любое приложение, использующее непроверенные входные данные для формирования командных строк. Злоумышленник может использовать внедрение команд ОС в приложении для повышения привилегий, выполнения произвольных команд и компрометации базовой операционной системы.
https://capec.mitre.org/data/definitions/88.html →Открыть в коллекции CAPEC →Данная атака приводит к выходу целочисленной переменной за допустимый диапазон значений. Целочисленная переменная нередко используется в качестве смещения, например при выделении памяти и т. п. Злоумышленник, как правило, контролирует значение такой переменной и стремится вывести его за допустимые границы. Например, если рассматриваемое целое число инкрементируется сверх максимально допустимого значения, оно может обернуться в очень маленькое или отрицательное число, что повлечёт некорректное поведение. В худшем случае злоумышленник может выполнить произвольный код.
https://capec.mitre.org/data/definitions/92.html →Открыть в коллекции CAPEC →Злоумышленник активно зондирует цель способами, направленными на получение информации, которая могла бы быть использована в вредоносных целях.
https://capec.mitre.org/data/definitions/116.html →Открыть в коллекции CAPEC →Злоумышленник применяет повторяющееся кодирование набора символов (то есть кодирует символ, уже закодированный с использованием кодировки символов) для обфускации полезной нагрузки конкретного запроса. Это может позволить злоумышленнику обойти фильтры, пытающиеся обнаружить недопустимые символы или строки, — в частности, те, которые могут использоваться в атаках выхода за пределы каталога или внедрения. Фильтры могут перехватывать закодированные недопустимые строки, но не способны перехватить дважды закодированные строки. Например, точка (.), часто используемая в атаках выхода за пределы каталога и потому нередко блокируемая фильтрами, может быть URL-закодирована как %2E. Однако многие фильтры распознают данное кодирование и всё равно заблокируют запрос. При двойном кодировании знак % в приведённом URL-кодировании снова кодируется как %25, что даёт %252E — строку, которую некоторые фильтры не распознают, однако интерпретаторы на целевой стороне по-прежнему могут трактовать как точку (.).
https://capec.mitre.org/data/definitions/120.html →Открыть в коллекции CAPEC →Злоумышленник проводит зондирование и разведку для идентификации компонентов и свойств цели.
https://capec.mitre.org/data/definitions/169.html →Открыть в коллекции CAPEC →Злоумышленник обманом вынуждает жертву выполнить вредоносное Flash-содержимое, которое исполняет команды или осуществляет Flash-обращения, указанные злоумышленником. Одним из примеров данной атаки является межсайтовое Flash-перенаправление: управляемый злоумышленником параметр в обращении загружает содержимое, указанное злоумышленником.
https://capec.mitre.org/data/definitions/182.html →Открыть в коллекции CAPEC →Злоумышленник сравнивает вывод целевой системы с известными признаками, однозначно идентифицирующими конкретные характеристики цели. Чаще всего снятие отпечатка выполняется для определения версий операционной системы и приложений. Снятие отпечатка может осуществляться как пассивным, так и активным способом. Сам по себе данный метод, как правило, не наносит ущерба цели. Однако информация, полученная в ходе снятия отпечатка, нередко позволяет злоумышленнику обнаруживать существующие слабости в цели.
https://capec.mitre.org/data/definitions/224.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует возможность кодирования потенциально опасных входных данных или содержимого, используемых приложениями, таким образом, что приложения оказываются не в состоянии проверять данное кодирование надлежащим образом.
https://capec.mitre.org/data/definitions/267.html →Открыть в коллекции CAPEC →Злоумышленник отправляет ICMP-сообщение типа 8 (Echo Request), широко известное как «Ping», чтобы определить, доступна ли целевая система. Если запрос не заблокирован межсетевым экраном или ACL, целевой хост ответит ICMP-датаграммой типа 0 (Echo Reply). Такой обмен обычно называют «Ping» по одноимённой утилите, имеющейся почти во всех операционных системах. Ping, в типичной реализации, позволяет пользователю проверять доступность хостов, измерять время двойного обхода и процент потери пакетов.
https://capec.mitre.org/data/definitions/285.html →Открыть в коллекции CAPEC →Злоумышленник использует SYN-сканирование для определения состояния портов на удалённой цели. SYN-сканирование является наиболее распространённым типом сканирования портов в силу многочисленных преимуществ и малого числа недостатков. В результате начинающие злоумышленники склонны чрезмерно полагаться на SYN-сканирование при выполнении разведки систем. Как метод сканирования, основные преимущества SYN-сканирования — его универсальность и скорость.
https://capec.mitre.org/data/definitions/287.html →Открыть в коллекции CAPEC →Злоумышленник перечисляет MX-записи заданного домена с помощью DNS-запроса. Этот тип сбора информации возвращает имена почтовых серверов в сети. Почтовые серверы нередко не имеют прямого выхода в интернет и располагаются в DMZ сети, защищённой межсетевым экраном. Побочным эффектом такой конфигурации является то, что перечисление MX-записей организации может раскрыть IP-адрес межсетевого экрана или, возможно, других внутренних систем. Злоумышленники нередко прибегают к перечислению MX-записей, когда передача зоны DNS невозможна.
https://capec.mitre.org/data/definitions/290.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует ошибку конфигурации DNS, допускающую передачу зоны. Некоторые внешние DNS-серверы возвращают список IP-адресов и действительных имён хостов. При определённых условиях возможно даже получение данных зоны о внутренней сети организации. В случае успеха злоумышленник получает ценные сведения о топологии целевой организации, включая информацию о конкретных серверах, их роли в IT-инфраструктуре и, возможно, об операционных системах, работающих в сети. Такое поведение зависит от конфигурации, поэтому может потребоваться перебор нескольких DNS-серверов в поисках того, на котором разрешена передача зоны.
https://capec.mitre.org/data/definitions/291.html →Открыть в коллекции CAPEC →Злоумышленник отправляет зонд на IP-адрес, чтобы определить, активен ли хост. Обнаружение хостов — одна из первых фаз сетевой разведки. Злоумышленник обычно начинает с диапазона IP-адресов, принадлежащих целевой сети, и использует различные методы для определения наличия хоста по каждому IP-адресу. Обнаружение хостов нередко называют «Ping»-сканированием по аналогии с гидролокатором. Цель — отправить пакет на IP-адрес и получить ответ от хоста. Таким образом, «ping» может быть практически любым сформированным пакетом при условии, что злоумышленник способен идентифицировать активный хост по его ответу. Атака такого рода, как правило, проводится в виде «ping sweep» — отправки определённого вида ping-запросов на диапазон IP-адресов.
https://capec.mitre.org/data/definitions/292.html →Открыть в коллекции CAPEC →Злоумышленник использует утилиту traceroute для построения карты маршрута, по которому данные проходят через сеть до целевого адреса назначения. Трассировка маршрута позволяет злоумышленнику построить рабочую топологию систем и маршрутизаторов, перечислив системы, через которые проходят данные на пути к целевому компьютеру. Данная атака может возвращать различные результаты в зависимости от типа выполняемой трассировки. Traceroute работает путём отправки пакетов к цели с последовательным увеличением значения поля Time-to-Live в заголовке пакета. При прохождении пакета через каждый узел на пути к назначению его TTL истекает, генерируя диагностическое ICMP-сообщение, идентифицирующее место истечения срока действия пакета. Традиционные методы трассировки маршрута основывались на использовании ICMP и UDP, однако по мере того как всё больше межсетевых экранов стали фильтровать входящие ICMP-пакеты, были разработаны методы трассировки на основе TCP.
https://capec.mitre.org/data/definitions/293.html →Открыть в коллекции CAPEC →Злоумышленник отправляет ICMP-сообщение типа 17 (Address Mask Request) для сбора сведений о конфигурации сети цели. Запросы маски адреса ICMP определены в RFC-950, «Internet Standard Subnetting Procedure». Запрос маски адреса — это ICMP-сообщение типа 17, которое побуждает удалённую систему ответить перечнем связанных подсетей, а также шлюзом по умолчанию и широковещательным адресом посредством ICMP-датаграммы типа 18 (Address Mask Reply). Сбор такой информации помогает злоумышленнику планировать атаки на маршрутизаторы, а также атаки типа «отказ в обслуживании» против широковещательного адреса.
https://capec.mitre.org/data/definitions/294.html →Открыть в коллекции CAPEC →Данный шаблон атаки использует стандартные запросы для определения точного времени, ассоциированного с целевой системой. Злоумышленник может использовать временную метку, возвращённую целью, для атаки на основанные на времени алгоритмы безопасности, такие как генераторы случайных чисел или механизмы аутентификации на основе времени.
https://capec.mitre.org/data/definitions/295.html →Открыть в коллекции CAPEC →Злоумышленник отправляет ICMP Information Request хосту, чтобы проверить, ответит ли тот на этот устаревший механизм. ICMP Information Requests — устаревший тип сообщений. Изначально запросы информации использовались для того, чтобы бездисковые компьютеры могли автоматически получать конфигурацию сети, однако этот тип сообщений был вытеснен более надёжными реализациями протоколов, такими как DHCP.
https://capec.mitre.org/data/definitions/296.html →Открыть в коллекции CAPEC →Злоумышленник отправляет TCP-сегмент с установленным флагом ACK удалённому хосту для определения его доступности. Это один из нескольких типов TCP-«пинга». Ожидаемое поведение по RFC 793 для службы — ответить пакетом RST («reset») на любой незапрошенный ACK-сегмент, не являющийся частью существующего соединения. Таким образом, отправив ACK-сегмент на порт, злоумышленник может определить, что хост активен, по наличию пакета RST. Как правило, удалённый сервер отвечает RST вне зависимости от того, открыт порт или закрыт. В связи с этим TCP ACK Ping не позволяет определить состояние удалённого порта, поскольку поведение в обоих случаях одинаково. Межсетевой экран просматривает ACK-пакет в своей таблице состояний и отбрасывает сегмент, поскольку он не соответствует ни одному активному соединению. TCP ACK Ping может использоваться для определения доступности хоста по пакетам RST, отправляемым хостом в ответ.
https://capec.mitre.org/data/definitions/297.html →Открыть в коллекции CAPEC →Злоумышленник отправляет UDP-датаграмму удалённому хосту для определения его доступности. Если UDP-датаграмма отправлена на открытый UDP-порт, ответ нередко отсутствует, поэтому типичная стратегия UDP-пинга — отправка датаграммы на случайный порт с высоким номером на цели. Цель — получить от цели сообщение «ICMP port unreachable», свидетельствующее о доступности хоста. UDP-пинги полезны, поскольку некоторые межсетевые экраны не настроены на блокировку UDP-датаграмм, отправляемых на нестандартные или редко используемые порты, например порты в диапазоне 65K. Кроме того, хотя некоторые межсетевые экраны могут фильтровать входящие ICMP-пакеты, уязвимости в наборах правил межсетевого экрана могут допускать определённые типы ICMP (host unreachable, port unreachable), которые полезны для попыток UDP-пинга.
https://capec.mitre.org/data/definitions/298.html →Открыть в коллекции CAPEC →Злоумышленник использует TCP SYN-пакеты как средство обнаружения хостов. Типичное поведение по RFC 793 предусматривает, что когда TCP-порт открыт, хост должен ответить на входящий SYN-пакет («synchronize»), завершив второй этап «трёхстороннего рукопожатия» — отправив SYN/ACK в ответ. Когда порт закрыт, поведение по RFC 793 — ответить пакетом RST («reset»). Это поведение можно использовать для «пинга» цели с целью проверки её доступности: отправить TCP SYN-пакет на порт и затем отслеживать RST или ACK-пакет в ответ.
https://capec.mitre.org/data/definitions/299.html →Открыть в коллекции CAPEC →Злоумышленник использует комбинацию методов для определения состояния портов на удалённой цели. Для каждой службы или приложения, доступного по TCP или UDP в сети, открыт соответствующий порт для коммуникации.
https://capec.mitre.org/data/definitions/300.html →Открыть в коллекции CAPEC →Злоумышленник использует полные попытки установления TCP-соединений для определения состояния порта на целевой системе. Процесс сканирования включает выполнение «трёхстороннего рукопожатия» с удалённым портом и сообщает о закрытии порта, если полное рукопожатие не может быть установлено. Преимущество TCP connect-сканирования заключается в том, что оно работает с любым TCP/IP-стеком.
https://capec.mitre.org/data/definitions/301.html →Открыть в коллекции CAPEC →Злоумышленник использует TCP FIN-сканирование для определения закрытых портов на целевом компьютере. Данный метод сканирования реализуется путём отправки TCP-сегментов с установленным битом FIN в заголовке пакета. Ожидаемое поведение по RFC 793 состоит в том, что любой TCP-сегмент с неожиданным флагом, отправленный на открытый порт, отбрасывается, тогда как сегменты с неожиданными флагами, отправленные на закрытые порты, должны обрабатываться с RST в ответ. Это поведение позволяет злоумышленнику сканировать закрытые порты, отправляя определённые типы нарушающих правила пакетов и обнаруживая закрытые порты по RST-пакетам.
https://capec.mitre.org/data/definitions/302.html →Открыть в коллекции CAPEC →Злоумышленник использует TCP XMAS-сканирование для определения закрытых портов на целевом компьютере. Данный метод реализуется путём отправки TCP-сегментов со всеми возможными установленными флагами в заголовке пакета, формируя пакеты, являющиеся недопустимыми согласно RFC 793. Ожидаемое поведение по RFC 793 состоит в том, что любой TCP-сегмент с неожиданным флагом, отправленный на открытый порт, отбрасывается, тогда как сегменты с неожиданными флагами, отправленные на закрытые порты, должны обрабатываться с RST в ответ. Это поведение позволяет злоумышленнику сканировать закрытые порты и обнаруживать их по RST-пакетам.
https://capec.mitre.org/data/definitions/303.html →Открыть в коллекции CAPEC →Злоумышленник использует TCP Null-сканирование для определения закрытых портов на целевом компьютере. Данный метод реализуется путём отправки TCP-сегментов без каких-либо флагов в заголовке пакета, формируя пакеты, являющиеся недопустимыми согласно RFC 793. Ожидаемое поведение по RFC 793 состоит в том, что любой TCP-сегмент с неожиданным флагом, отправленный на открытый порт, отбрасывается, тогда как сегменты с неожиданными флагами, отправленные на закрытые порты, должны обрабатываться с RST в ответ. Это поведение позволяет злоумышленнику сканировать закрытые порты и обнаруживать их по RST-пакетам.
https://capec.mitre.org/data/definitions/304.html →Открыть в коллекции CAPEC →Злоумышленник использует TCP ACK-сегменты для сбора сведений о конфигурации межсетевого экрана или ACL. Цель данного типа сканирования — получить информацию о конфигурации фильтров, а не о состоянии портов. Данный тип сканирования редко полезен сам по себе, однако в сочетании с SYN-сканированием даёт более полное представление о типе действующих правил межсетевого экрана.
https://capec.mitre.org/data/definitions/305.html →Открыть в коллекции CAPEC →Злоумышленник применяет TCP Window-сканирование для анализа состояния портов и определения типа операционной системы. TCP Window-сканирование использует метод ACK-сканирования, но исследует поле размера TCP-окна ответных RST-пакетов для получения определённых выводов. Хотя TCP Window-сканирование выполняется быстро и относительно незаметно, оно работает с меньшим числом TCP-стеков, чем любой другой тип сканирования. Некоторые операционные системы возвращают положительный размер TCP-окна в RST-пакете, отправленном с открытого порта, и отрицательное значение, когда RST исходит с закрытого порта. TCP Window-сканирование — один из наиболее сложных типов сканирования, а его результаты сложно интерпретировать. Window-сканирование само по себе редко даёт полезную информацию, однако в сочетании с другими типами сканирования оно более информативно. В целом это более надёжный способ получить выводы о версиях операционных систем, чем о состоянии портов.
https://capec.mitre.org/data/definitions/306.html →Открыть в коллекции CAPEC →Злоумышленник сканирует RPC-службы, прослушивающие Unix/Linux-хост.
https://capec.mitre.org/data/definitions/307.html →Открыть в коллекции CAPEC →Злоумышленник применяет UDP-сканирование для сбора сведений о состоянии UDP-портов на целевой системе. Методы UDP-сканирования включают отправку UDP-датаграммы на целевой порт и поиск признаков того, что порт закрыт. Открытые UDP-порты, как правило, не отвечают на UDP-датаграммы, поскольку в протоколе отсутствует механизм с отслеживанием состояния, требующий установления сессии. Ответы на UDP-датаграммы являются специфичными для приложения и не могут использоваться как надёжный метод обнаружения открытого порта. UDP-сканирование в значительной мере опирается на диагностические ICMP-сообщения для определения состояния удалённого порта.
https://capec.mitre.org/data/definitions/308.html →Открыть в коллекции CAPEC →Злоумышленник выполняет сканирование для составления карты сетевых узлов, хостов, устройств и маршрутов. Злоумышленники, как правило, проводят такую сетевую разведку на ранних этапах атаки на внешнюю сеть. Обычно применяется широкий спектр утилит сканирования, включая инструменты на основе ICMP, сетевые картографы, сканеры портов и утилиты тестирования маршрутов, такие как traceroute.
https://capec.mitre.org/data/definitions/309.html →Открыть в коллекции CAPEC →Злоумышленник осуществляет сканирование для поиска уязвимых версий или типов программного обеспечения, таких как версии операционных систем или сетевые службы. Уязвимые или поддающиеся эксплуатации сетевые конфигурации, например ненадлежащим образом защищённые межсетевым экраном системы или некорректно настроенные системы в DMZ или во внешней сети, предоставляют злоумышленнику возможности для атаки. К распространённым типам уязвимого программного обеспечения относятся неисправленные операционные системы или службы (например, FTP, Telnet, SMTP, SNMP), работающие на открытых портах, выявленных злоумышленником. Злоумышленники обычно начинают поиск уязвимого программного обеспечения после сканирования портов внешней сети и выявления потенциальных целей.
https://capec.mitre.org/data/definitions/310.html →Открыть в коллекции CAPEC →Злоумышленник выполняет действия для определения операционной системы или версии прошивки удалённой цели, опрашивая устройство, сервер или платформу с помощью зонда, призванного вызвать поведение, которое раскроет сведения об операционных системах или прошивках в среде. Обнаружение операционной системы возможно, поскольку реализации общих протоколов (таких как IP или TCP) различаются характерным образом. Хотя различия в реализациях недостаточны для «нарушения» совместимости с протоколом, они обнаруживаемы: цель реагирует уникальным образом на специфическую зондирующую активность, нарушающую семантические или логические правила конструирования пакетов для протокола. Различные операционные системы дают уникальный ответ на аномальный ввод, что является основой для снятия отпечатка ОС. Данный тип снятия отпечатка ОС позволяет различать типы и версии операционных систем.
https://capec.mitre.org/data/definitions/312.html →Открыть в коллекции CAPEC →Злоумышленник выполняет действия для определения версии или типа программного обеспечения ОС в среде путём пассивного наблюдения за обменом данными между устройствами, узлами или приложениями. Пассивные методы снятия отпечатка операционной системы не отправляют реальных зондов к цели, а отслеживают сетевой обмен данными или обмен между клиентом и сервером для идентификации операционных систем на основе наблюдаемого поведения в сравнении с базой данных известных сигнатур или значений. Хотя пассивное снятие отпечатка ОС, как правило, менее надёжно, чем активные методы, оно обычно лучше уклоняется от обнаружения.
https://capec.mitre.org/data/definitions/313.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС анализирует алгоритм генерации порядкового номера поля IP «ID» удалённого хоста. Операционные системы генерируют IP «ID»-номера по-разному, что позволяет злоумышленнику идентифицировать операционную систему хоста, анализируя порядок присвоения ID-номеров при генерации ответных пакетов. RFC 791 не определяет способ выбора ID-номеров и их диапазоны, поэтому генерация последовательностей ID различается в зависимости от реализации. Существуют два вида анализа последовательностей IP «ID»: анализ последовательностей IP «ID» — анализ алгоритма генерации последовательностей IP «ID» для одного протокола, используемого хостом, и анализ разделяемых последовательностей IP «ID» — анализ порядка пакетов на основе значений IP «ID» в нескольких протоколах, например между ICMP и TCP.
https://capec.mitre.org/data/definitions/317.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС проверяет, отражает ли удалённый хост значение IP «ID» из зондирующего пакета. Злоумышленник отправляет UDP-датаграмму с произвольным значением IP «ID» на закрытый порт удалённого хоста, чтобы наблюдать способ отражения этого бита в ICMP-сообщении об ошибке. Поле идентификации (ID) обычно используется для повторной сборки фрагментированного пакета. Некоторые операционные системы или прошивки маршрутизаторов меняют порядок байтов поля ID при отражении IP-заголовка исходной датаграммы в ICMP-сообщении об ошибке.
https://capec.mitre.org/data/definitions/318.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС проверяет, отражает ли удалённый хост бит IP «DF» (Don't Fragment) в ответном пакете. Злоумышленник отправляет UDP-датаграмму с установленным битом DF на закрытый порт удалённого хоста, чтобы наблюдать, установлен ли бит «DF» в ответном пакете. Некоторые операционные системы отражают этот бит в ICMP-сообщении об ошибке, тогда как другие обнуляют бит в ответном пакете.
https://capec.mitre.org/data/definitions/319.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС исследует реализацию временных меток TCP удалённого сервера. Не все операционные системы реализуют временные метки в TCP-заголовке, однако когда они используются, это предоставляет злоумышленнику возможность угадать операционную систему цели. Злоумышленник начинает с зондирования любой активной TCP-службы, чтобы получить ответ, содержащий временную метку TCP. Различные операционные системы обновляют значение временной метки через разные интервалы. Данный тип анализа наиболее точен при получении и анализе нескольких ответов с временными метками. Временные метки TCP находятся в поле опций TCP-заголовка.
https://capec.mitre.org/data/definitions/320.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС тестирует механизм присвоения последовательных номеров TCP целевой системой. Один из распространённых способов проверки генерации последовательных номеров TCP — отправить зондирующий пакет на открытый порт цели и затем сравнить соотношение сгенерированного целью последовательного номера с номером подтверждения в зондирующем пакете. Различные операционные системы присваивают последовательные номера по-разному, поэтому отпечаток операционной системы можно получить, категоризировав соотношение между номером подтверждения и последовательным номером следующим образом: 1) последовательный номер, сгенерированный целью, равен нулю; 2) последовательный номер, сгенерированный целью, совпадает с номером подтверждения в зонде; 3) последовательный номер, сгенерированный целью, на единицу превышает номер подтверждения; 4) последовательный номер является любым другим ненулевым числом.
https://capec.mitre.org/data/definitions/321.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС отправляет ряд TCP SYN-пакетов на открытый порт удалённого компьютера. Начальный порядковый номер (ISN) в каждом из ответных пакетов SYN/ACK анализируется для определения наименьшего числа, которое целевой хост использует при увеличении порядковых номеров. Эта информация может быть полезна для идентификации операционной системы, поскольку конкретные операционные системы и их версии увеличивают порядковые номера с использованием разных значений. Результат анализа затем сравнивается с базой данных поведения ОС для определения типа и/или версии ОС.
https://capec.mitre.org/data/definitions/322.html →Открыть в коллекции CAPEC →Данный зонд обнаружения ОС измеряет среднюю скорость приращений начального порядкового номера за период времени. Порядковые номера увеличиваются с использованием алгоритма на основе времени и подвержены временному анализу, позволяющему определить количество приращений в единицу времени. Результат данного анализа затем сравнивается с базой данных операционных систем и версий для определения вероятных совпадений операционной системы.
https://capec.mitre.org/data/definitions/323.html →Открыть в коллекции CAPEC →Данный тип зонда операционной системы пытается определить оценку предсказуемости алгоритма генерации порядковых номеров для удалённого хоста. Статистические методы, такие как стандартное отклонение, могут использоваться для определения предсказуемости генерации порядковых номеров для системы. Этот результат затем может быть сопоставлен с базой данных поведения операционных систем для определения вероятного совпадения операционной системы и версии.
https://capec.mitre.org/data/definitions/324.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС проверяет, поддерживает ли удалённый хост явное уведомление о перегрузке (ECN). ECN-уведомления разработаны для того, чтобы маршрутизаторы могли уведомлять удалённый хост о возникающих проблемах с перегрузкой. Явное уведомление о перегрузке определено в RFC 3168. Различные операционные системы и версии могут реализовывать или не реализовывать ECN-уведомления либо реагировать уникальным образом на определённые типы флагов ECN.
https://capec.mitre.org/data/definitions/325.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС проверяет начальный размер TCP-окна. TCP-стеки ограничивают диапазон допустимых порядковых номеров в рамках сессии для поддержания состояния «connected» в логике протокола TCP. Начальный размер окна определяет диапазон допустимых порядковых номеров, которые будут квалифицироваться как ответ на ACK-пакет в рамках сессии. Различные операционные системы используют разные начальные размеры окна. Начальный размер окна может быть зафиксирован путём установления обычного TCP-соединения.
https://capec.mitre.org/data/definitions/326.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС анализирует тип и порядок любых опций TCP-заголовка, присутствующих в ответном сегменте. Большинство операционных систем используют уникальный порядок и разные наборы опций при их наличии. RFC 793 не определяет обязательного порядка при наличии опций, поэтому различные реализации используют уникальные способы упорядочивания или структурирования опций TCP. Опции TCP могут генерироваться обычным TCP-трафиком.
https://capec.mitre.org/data/definitions/327.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС выполняет контрольное суммирование ASCII-данных, содержащихся в полезной нагрузке пакета RST. Некоторые операционные системы включают удобочитаемое текстовое сообщение в полезную нагрузку пакета «RST» (сброс) при возникновении определённых типов ошибок соединения. RFC 1122 допускает текстовые полезные нагрузки в пакетах сброса, однако не все операционные системы и маршрутизаторы реализуют эту функциональность.
https://capec.mitre.org/data/definitions/328.html →Открыть в коллекции CAPEC →Злоумышленник использует технику для генерации ICMP-сообщения об ошибке (Port Unreachable, Destination Unreachable, Redirect, Source Quench, Time Exceeded, Parameter Problem) с цели, после чего анализирует объём данных, возвращённых или «процитированных» из исходного запроса, сгенерировавшего ICMP-сообщение об ошибке.
https://capec.mitre.org/data/definitions/329.html →Открыть в коллекции CAPEC →Злоумышленник использует технику для генерации ICMP-сообщения об ошибке (Port Unreachable, Destination Unreachable, Redirect, Source Quench, Time Exceeded, Parameter Problem) с цели, после чего анализирует целостность данных, возвращённых или «процитированных» из исходного запроса, сгенерировавшего сообщение об ошибке.
https://capec.mitre.org/data/definitions/330.html →Открыть в коллекции CAPEC →Злоумышленник тщательно разрабатывает небольшие фрагменты JavaScript для эффективного определения типа браузера потенциальной жертвы. Многие веб-атаки требуют предварительного знания браузера, включая его версию, для успешной эксплуатации уязвимости. Наличие этих знаний позволяет злоумышленнику нацелить атаки непосредственно на известные или ранее неизвестные уязвимости конкретного типа и версии браузера жертвы. Автоматизация этого процесса с помощью JavaScript в рамках той же системы доставки, что используется для эксплуатации браузера, считается более эффективной: злоумышленник может встроить метод снятия отпечатка браузера и интегрировать его с кодом эксплуатации — всё в виде JavaScript в ответ на тот же запрос браузера.
https://capec.mitre.org/data/definitions/472.html →Открыть в коллекции CAPEC →Злоумышленник выполняет разведывательные действия для определения наличия распространённых ключевых файлов. Такие файлы нередко содержат параметры конфигурации и безопасности целевого приложения, системы или сети. Полученные знания зачастую открывают путь к более серьёзным атакам.
https://capec.mitre.org/data/definitions/497.html →Открыть в коллекции CAPEC →При атаке подглядывания через плечо злоумышленник наблюдает за нажатиями клавиш, содержимым экрана или разговорами ничего не подозревающего человека с целью получения конфиденциальной информации. Одним из мотивов данной атаки является получение конфиденциальной информации о цели в финансовых, личных, политических или иных целях. С точки зрения инсайдерской угрозы дополнительным мотивом может быть получение учётных данных для системы/приложения или криптографических ключей. Атаки подглядывания через плечо осуществляются путём наблюдения за содержимым «через плечо жертвы», как следует из названия данной атаки.
https://capec.mitre.org/data/definitions/508.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует функциональность, предназначенную для предоставления авторизованному пользователю информации о текущих запущенных процессах на целевой системе. Зная, какие процессы выполняются на целевой системе, злоумышленник получает сведения о целевой среде как средство для дальнейшего вредоносного поведения.
https://capec.mitre.org/data/definitions/573.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует функциональность, предназначенную для предоставления авторизованному пользователю информации о службах целевой системы. Зная, какие службы зарегистрированы на целевой системе, злоумышленник получает сведения о целевой среде как средство для дальнейшего вредоносного поведения. В зависимости от операционной системы команды для получения информации о службах включают «sc» и «tasklist/svc» с помощью Tasklist, а также «net start» с помощью Net.
https://capec.mitre.org/data/definitions/574.html →Открыть в коллекции CAPEC →Злоумышленник использует функциональность, предназначенную для предоставления авторизованному пользователю сведений о доменных учётных записях и их правах на целевой системе. Зная, какие учётные записи зарегистрированы на целевой системе, злоумышленник может планировать более целенаправленные вредоносные действия. Примеры команд Windows, позволяющих получить эту информацию: "net user" и "dsquery".
https://capec.mitre.org/data/definitions/575.html →Открыть в коллекции CAPEC →Злоумышленник использует функциональность, предназначенную для предоставления авторизованному пользователю сведений о группах пользователей и их правах на целевой системе. Зная, какие пользователи и права зарегистрированы на целевой системе, злоумышленник может планировать более целенаправленные вредоносные действия. Пример команды Windows для вывода списка локальных групп: "net localgroup".
https://capec.mitre.org/data/definitions/576.html →Открыть в коллекции CAPEC →Злоумышленник использует функциональность, предназначенную для предоставления авторизованному пользователю сведений об основных пользователях целевой системы. Для этого он может, например, просматривать записи входов или время изменения файлов. Зная, кто является владельцами на целевой системе, злоумышленник может планировать более целенаправленные вредоносные действия. Пример команды Windows, позволяющей это сделать: "dir /A ntuser.dat" — она выводит время последнего изменения файла ntuser.dat пользователя при выполнении в корневом каталоге этого пользователя. Данное время соответствует последнему времени входа этого пользователя в систему.
https://capec.mitre.org/data/definitions/577.html →Открыть в коллекции CAPEC →Злоумышленник предоставляет вредоносную версию ресурса по адресу, схожему с ожидаемым расположением легитимного ресурса. Создав поддельный ресурс, злоумышленник ожидает, пока жертва посетит его и обратится к вредоносному ресурсу.
https://capec.mitre.org/data/definitions/616.html →Открыть в коллекции CAPEC →Злоумышленник обнаруживает связи между системами, используя стандартную практику целевой системы раскрывать их в общедоступных местах. Определив общие папки/диски между системами, злоумышленник может продвигать свои цели по обнаружению и сбору конфиденциальной информации/файлов или составлению карты возможных маршрутов для горизонтального перемещения по сети.
https://capec.mitre.org/data/definitions/643.html →Открыть в коллекции CAPEC →Злоумышленники могут пытаться получить информацию о подключённых периферийных устройствах и компонентах компьютерной системы. Примеры включают обнаружение iOS-устройств путём поиска резервных копий, анализ реестра Windows для определения подключавшихся USB-устройств или заражение системы жертвы вредоносным программным обеспечением для получения уведомлений о подключении USB-устройства. Это может позволить злоумышленнику получить дополнительные сведения о системе или сетевой среде, что может быть использовано для разработки последующих атак.
https://capec.mitre.org/data/definitions/646.html →Открыть в коллекции CAPEC →Злоумышленник перехватывает форму коммуникации (например, текст, аудио, видео) с помощью программных средств (например, микрофона и приложения для записи аудио), аппаратных средств (например, записывающего оборудования) или физических методов (например, физической близости). Цель прослушивания, как правило, состоит в получении несанкционированного доступа к конфиденциальной информации о цели в финансовых, личных, политических или иных целях. Прослушивание отличается от атаки перехватом пакетов тем, что не осуществляется по сетевому каналу связи (например, IP-трафику). Вместо этого оно предполагает прослушивание необработанного аудиоисточника разговора между двумя и более сторонами.
https://capec.mitre.org/data/definitions/651.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| cheese | Отслеживается | |
| control-center | Отслеживается | |
| ekiga | Отслеживается | |
| evolution | Отслеживается | |
| evolution | Отслеживается | |
| evolution-data-server | Отслеживается | |
| evolution-exchange | Отслеживается | |
| evolution-mapi | Отслеживается | |
| gnome-panel | Отслеживается | |
| gnome-python2-desktop | Отслеживается | |
| gtkhtml3 | Отслеживается | |
| libgdata | Отслеживается | |
| nautilus-sendto | Отслеживается | |
| openchange | Отслеживается | |
| pidgin | Отслеживается | |
| planner | Отслеживается | |
| totem | Отслеживается | |
| enterprise_linux_desktop | * | Отслеживается |
| enterprise_linux_server | * | Отслеживается |
| enterprise_linux_workstation | * | Отслеживается |