Уязвимость раскрытия информации в Microsoft Word.
Уязвимость раскрытия информации в Microsoft Word.
Продукт получает входные данные или данные иного рода, однако не проверяет или некорректно проверяет, обладают ли эти данные свойствами, необходимыми для их безопасной и корректной обработки.
https://cwe.mitre.org/data/definitions/20.html →Открыть в коллекции CWE →Продукт раскрывает конфиденциальную информацию субъекту, которому явно не предоставлен доступ к этой информации.
https://cwe.mitre.org/data/definitions/200.html →Открыть в коллекции CWE →Некоторые API удаляют определённые ведущие символы из строки параметров. Злоумышленник может намеренно вставлять ведущие «фантомные» символы (дополнительные символы, не влияющие на корректность запроса на уровне API), которые позволяют входным данным пройти фильтры и тем самым обрабатываются API целевого ресурса. Это происходит, когда целевой API принимает входные данные в нескольких синтаксических формах и интерпретирует их семантически одинаково, тогда как фильтр не учитывает полный спектр синтаксических форм, допустимых для целевого API.
https://capec.mitre.org/data/definitions/3.html →Открыть в коллекции CAPEC →Слепое внедрение SQL-кода является следствием недостаточного противодействия внедрению SQL-кода. Хотя подавление сообщений об ошибках базы данных считается надлежащей практикой, одного лишь подавления недостаточно для предотвращения SQL-инъекций. Слепое внедрение SQL-кода — это форма SQL-инъекции, преодолевающая отсутствие сообщений об ошибках. Не имея сообщений об ошибках, которые облегчают SQL-инъекцию, злоумышленник формирует входные строки, зондирующие цель с помощью простых булевых SQL-выражений. Злоумышленник может определить, было ли синтаксически и структурно корректно выполнено внедрение, на основании того, был ли выполнен запрос. Применяя этот метод итеративно, злоумышленник определяет, как и где цель уязвима к SQL-инъекции.
https://capec.mitre.org/data/definitions/7.html →Открыть в коллекции CAPEC →Данная атака направлена на библиотеки или модули совместного кода, уязвимые к атакам типа «переполнение буфера». Злоумышленник, знающий об известных уязвимых библиотеках или совместном коде, может легко атаковать программное обеспечение, использующее эти библиотеки. Все клиенты, использующие данную кодовую библиотеку, становятся уязвимыми по ассоциации. Это оказывает широкое влияние на безопасность системы, как правило затрагивая более одного программного процесса.
https://capec.mitre.org/data/definitions/8.html →Открыть в коллекции CAPEC →Данная атака направлена против утилит командной строки, доступных во многих командных оболочках. Злоумышленник может использовать уязвимость в утилите командной строки для повышения привилегий до уровня root.
https://capec.mitre.org/data/definitions/9.html →Открыть в коллекции CAPEC →Данный шаблон атаки предполагает вызов переполнения буфера путём манипуляции переменными окружения. Обнаружив возможность изменить переменную окружения, злоумышленник может попытаться переполнить связанные с ней буферы. Атака использует неявное доверие, которое нередко оказывается переменным окружения.
https://capec.mitre.org/data/definitions/10.html →Открыть в коллекции CAPEC →Злоумышленник прямо или косвенно изменяет переменные окружения, используемые целевым программным обеспечением или управляющие им. Цель злоумышленника состоит в том, чтобы заставить целевое программное обеспечение отклониться от ожидаемого поведения способом, выгодным злоумышленнику.
https://capec.mitre.org/data/definitions/13.html →Открыть в коллекции CAPEC →Данный тип атаки эксплуатирует уязвимость переполнения буфера в клиентском программном обеспечении путём внедрения вредоносного содержимого из специально созданного враждебного сервиса. Враждебный сервис создаётся для доставки нужного содержимого клиентскому программному обеспечению. Например, если клиентским приложением является браузер, сервис будет хостить веб-страницу, которую браузер загрузит.
https://capec.mitre.org/data/definitions/14.html →Открыть в коллекции CAPEC →Атака данного типа эксплуатирует уязвимости в аутентификации канала взаимодействия клиент/сервер и целостности данных. Она использует неявное доверие, которое сервер оказывает клиенту, или, что важнее, тому, кого сервер считает клиентом. Злоумышленник реализует данный тип атаки, взаимодействуя напрямую с сервером, который при этом полагает, что общается только с действительным клиентом. Существует множество разновидностей данного типа атак.
https://capec.mitre.org/data/definitions/22.html →Открыть в коллекции CAPEC →Злоумышленник заражает файлы вредоносной полезной нагрузкой (нацеливаясь на файловые системы, доступные целевому программному обеспечению), которые могут распространяться по стандартным каналам — например, по электронной почте, а также в стандартных веб-материалах, таких как PDF-файлы и мультимедийные файлы. Злоумышленник эксплуатирует известные уязвимости или процедуры обработки в целевых процессах для использования доверия хоста при выполнении удалённого содержимого, включая двоичные файлы.
https://capec.mitre.org/data/definitions/23.html →Открыть в коллекции CAPEC →В данной атаке цель состоит в том, чтобы вызвать отказ активного фильтра путём создания чрезмерно большой транзакции. Злоумышленник может попытаться передать программе слишком длинные входные строки, чтобы перегрузить фильтр (вызвав переполнение буфера) в надежде, что фильтр не выйдет из строя безопасным образом (то есть пользовательский ввод попадёт в систему без фильтрации).
https://capec.mitre.org/data/definitions/24.html →Открыть в коллекции CAPEC →В данном шаблоне атаки злоумышленник применяет фаззинг для выявления слабостей в системе. Фаззинг — это метод тестирования безопасности и функциональности программного обеспечения, при котором в систему подаются случайно сформированные входные данные с отслеживанием признаков сбоя в ответ на эти данные. Фаззинг рассматривает систему как «чёрный ящик» и полностью свободен от каких-либо предположений о системе. Фаззинг помогает злоумышленнику обнаружить определённые допущения, сделанные в системе относительно пользовательского ввода. Фаззинг даёт злоумышленнику быстрый способ потенциально выявить часть этих допущений, не зная ничего о внутреннем устройстве системы. Затем эти допущения могут быть обращены против системы путём специального конструирования пользовательского ввода, позволяющего злоумышленнику достичь своих целей.
https://capec.mitre.org/data/definitions/28.html →Открыть в коллекции CAPEC →Данная атака основана на использовании HTTP-cookie для хранения учётных данных, сведений о состоянии и других критически важных данных в клиентских системах. Существует несколько различных форм этой атаки. Первая форма предполагает доступ к HTTP-cookie с целью извлечения потенциально конфиденциальных данных, содержащихся в них. Вторая форма — перехват этих данных при их передаче от клиента к серверу. Перехваченная информация затем используется злоумышленником для имитации удалённого пользователя/сессии. Третья форма — модификация содержимого cookie злоумышленником перед его отправкой обратно серверу. В этом случае злоумышленник стремится убедить целевой сервер работать на основе этих фальсифицированных данных.
https://capec.mitre.org/data/definitions/31.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует слабость в процедуре MIME-конвертации, чтобы вызвать переполнение буфера и получить контроль над почтовым сервером. Система MIME разработана для того, чтобы различные форматы данных могли быть интерпретированы и отправлены по электронной почте. Точки атаки существуют при преобразовании данных в MIME-совместимый формат и обратно.
https://capec.mitre.org/data/definitions/42.html →Открыть в коллекции CAPEC →Злоумышленник передаёт целевому программному обеспечению входные данные, содержащие последовательности специальных символов, предназначенные для обхода логики проверки входных данных. Атака основана на том, что целевая система выполняет несколько проходов по входным данным, обрабатывая «слой» специальных символов на каждом проходе. Таким образом злоумышленник может замаскировать входные данные, которые в противном случае были бы отклонены как недопустимые, скрыв их за слоями специальных символов и экранирующих последовательностей, удаляемых последующими этапами обработки. Цель состоит в том, чтобы сначала обнаружить случаи, когда уровень проверки входных данных выполняется до одного или нескольких уровней синтаксического анализа. То есть пользовательский ввод может проходить через следующую логику приложения: <parser1> --> <input validator> --> <parser2>. В таких случаях злоумышленнику необходимо предоставить входные данные, которые пройдут через валидатор входных данных, но после прохождения через parser2 будут преобразованы в нечто, что валидатор должен был заблокировать.
https://capec.mitre.org/data/definitions/43.html →Открыть в коллекции CAPEC →Данный тип атаки использует символические ссылки для вызова переполнения буфера. Злоумышленник может попытаться создать или модифицировать файл символической ссылки таким образом, чтобы её содержимое привело к выходу данных за пределы допустимого диапазона. Когда целевое программное обеспечение обрабатывает файл символической ссылки, оно потенциально может переполнить внутренние буферы из-за недостаточной проверки границ.
https://capec.mitre.org/data/definitions/45.html →Открыть в коллекции CAPEC →Данный тип атаки использует теги или переменные из форматированных конфигурационных данных для вызова переполнения буфера. Злоумышленник создаёт вредоносную HTML-страницу или файл конфигурации с чрезмерно длинными строками, что приводит к переполнению.
https://capec.mitre.org/data/definitions/46.html →Открыть в коллекции CAPEC →В данной атаке целевому программному обеспечению передаются входные данные, которые злоумышленник заранее знает будут изменены и увеличены в размере в процессе обработки. Атака основана на том, что целевое программное обеспечение не предусматривает возможность превышения расширенными данными некоторого внутреннего предела, что приводит к переполнению буфера.
https://capec.mitre.org/data/definitions/47.html →Открыть в коллекции CAPEC →Злоумышленник внедряет один или несколько нулевых байтов во входные данные целевого программного обеспечения. Данная атака использует применение байта с нулевым значением в качестве терминатора строки во многих средах. Цель состоит в том, чтобы отдельные компоненты целевого программного обеспечения прекратили обработку входных данных при обнаружении нулевого байта (нулевых байтов).
https://capec.mitre.org/data/definitions/52.html →Открыть в коллекции CAPEC →Если строка проходит через фильтр какого-либо вида, терминальный NULL может оказаться недопустимым. Использование альтернативного представления NULL позволяет злоумышленнику внедрить NULL в середину строки, при этом добавив в конце корректные данные для обхода фильтра. Одним из примеров является фильтр, проверяющий наличие завершающей косой черты. Если внедрение строки возможно, но косая черта обязательна, в середине строки может быть использовано альтернативное кодирование NULL.
https://capec.mitre.org/data/definitions/53.html →Открыть в коллекции CAPEC →Данная атака направлена на предсказуемые идентификаторы сеанса с целью получения привилегий. Злоумышленник может предсказать идентификатор сеанса, используемый во время транзакции, и применить его для подделки личности и перехвата сеанса.
https://capec.mitre.org/data/definitions/59.html →Открыть в коллекции CAPEC →Данная атака направлена на повторное использование действительного идентификатора сеанса для подделки личности в целевой системе и получения привилегий. Злоумышленник пытается повторно использовать похищенный идентификатор сеанса, применявшийся ранее в транзакции, для подделки личности и перехвата сеанса. Другое название этого типа атаки — воспроизведение сеанса.
https://capec.mitre.org/data/definitions/60.html →Открыть в коллекции CAPEC →Злоумышленник внедряет вредоносные скрипты в содержимое, которое будет передано веб-браузерам. Цель атаки — вынудить целевое программное обеспечение, браузер на стороне клиента, выполнить скрипт с уровнем привилегий пользователя. Атаки данного типа эксплуатируют уязвимости программ, возникающие из-за предоставления удалённым хостам возможности выполнять код и скрипты. Веб-браузеры, например, имеют некоторые простые средства контроля безопасности, однако если удалённому злоумышленнику разрешено выполнять скрипты (путём их внедрения в генерируемый пользователем контент, например на форумах), эти средства могут быть обойдены. Кроме того, такие атаки крайне сложно обнаружить конечному пользователю.
https://capec.mitre.org/data/definitions/63.html →Открыть в коллекции CAPEC →Данная атака использует кодирование URL в сочетании с кодированием символов слеша. Злоумышленник может воспользоваться множеством способов кодирования URL и злоупотребить его интерпретацией. URL может содержать специальные символы, требующие особой синтаксической обработки для правильной интерпретации. Специальные символы представляются с помощью символа процента, за которым следуют две цифры, обозначающие код октета исходного символа (%HEX-КОД). Например, пробел в US-ASCII представляется как %20. Это часто называют экранированием или процентным кодированием. Поскольку сервер декодирует URL из запросов, он может ограничивать доступ к некоторым путям URL, проверяя и отфильтровывая полученные URL-запросы. Злоумышленник попытается сформировать URL с последовательностью специальных символов, которая после интерпретации сервером окажется эквивалентна запрещённому URL. Защититься от данной атаки непросто, поскольку URL может содержать другие форматы кодирования, такие как UTF-8, Unicode и т. д.
https://capec.mitre.org/data/definitions/64.html →Открыть в коллекции CAPEC →Данная атака направлена на приложения и программное обеспечение, небезопасно использующее функцию syslog(). Если приложение явно не задаёт параметр строки формата в вызове syslog(), пользовательский ввод может быть помещён в этот параметр, что приводит к атаке через форматную строку. Злоумышленники могут внедрять вредоносные команды форматной строки в вызов функции, вызывая переполнение буфера. Существует множество зафиксированных уязвимостей программного обеспечения, коренной причиной которых является неправильное использование функции syslog().
https://capec.mitre.org/data/definitions/67.html →Открыть в коллекции CAPEC →Злоумышленник может передавать Unicode-строку компоненту системы, не поддерживающему Unicode, и использовать её для обхода фильтра или сбоя классифицирующего механизма при правильной интерпретации запроса. Это может позволить злоумышленнику передать вредоносные данные через фильтр содержимого и/или вызвать некорректную маршрутизацию запроса приложением.
https://capec.mitre.org/data/definitions/71.html →Открыть в коллекции CAPEC →Данная атака направлена на кодирование URL. Злоумышленник может воспользоваться множеством способов кодирования URL и злоупотребить его интерпретацией.
https://capec.mitre.org/data/definitions/72.html →Открыть в коллекции CAPEC →Атака данного типа предполагает внедрение злоумышленником вредоносных символов (например, XSS-перенаправления) в имя файла — напрямую или косвенно — которое затем используется целевым программным обеспечением для формирования HTML-текста или иного потенциально исполняемого содержимого. Многие веб-сайты используют пользовательский контент и динамически строят ресурсы, такие как файлы, имена файлов и URL-ссылки, непосредственно из данных, введённых пользователем. В данном шаблоне атаки злоумышленник загружает код, способный выполняться в клиентском браузере и/или перенаправлять клиентский браузер на подконтрольный злоумышленнику сайт. Для передачи и эксплуатации этих уязвимостей могут использоваться все варианты полезных нагрузок XSS.
https://capec.mitre.org/data/definitions/73.html →Открыть в коллекции CAPEC →Данная атака использует обратный слеш в альтернативных кодировках. Злоумышленник может использовать обратный слеш в качестве первого символа, вынуждая парсер считать следующий символ специальным. Это называется экранированием. Используя данный приём, злоумышленник пытается эксплуатировать альтернативные способы кодирования одного и того же символа, что создаёт проблемы для фильтров и открывает пути для атак.
https://capec.mitre.org/data/definitions/78.html →Открыть в коллекции CAPEC →Данная атака направлена на кодирование символов слеша. Злоумышленник пытается эксплуатировать распространённые проблемы фильтрации, связанные с использованием символов слеша, для получения доступа к ресурсам на целевом хосте. Системы на основе каталогов, такие как файловые системы и базы данных, как правило, используют символ слеша для обозначения перехода между каталогами или другими контейнерными компонентами. По неоднозначным историческим причинам ПК (и, как следствие, ОС Microsoft) используют обратный слеш, тогда как мир UNIX традиционно применяет прямой слеш. Шизофренический результат таков, что многие MS-системы обязаны понимать обе формы слеша. Это предоставляет злоумышленнику множество возможностей для обнаружения и использования распространённых проблем фильтрации. Цель данного шаблона — обнаружить серверное программное обеспечение, применяющее фильтры только к одному варианту, но не другому.
https://capec.mitre.org/data/definitions/79.html →Открыть в коллекции CAPEC →Данная атака является специфическим вариантом использования альтернативных кодировок для обхода логики проверки. Атака использует возможность кодирования потенциально опасного ввода в UTF-8 и передачи его приложениям, не ожидающим или неспособным эффективно проверять данный стандарт кодирования, что затрудняет фильтрацию ввода. UTF-8 (8-битный формат преобразования UCS/Unicode) — это кодировка переменной длины для Unicode. Корректные символы UTF-8 имеют длину от одного до четырёх байтов. Однако в ранних версиях спецификации UTF-8 содержались ошибки (в ряде случаев допускались расширенные символы). Кодировщики UTF-8 должны использовать «как можно более короткое» кодирование, однако наивные декодеры могут принимать кодирования длиннее необходимого. В соответствии с RFC 3629, особенно тонкая форма данной атаки может быть проведена против парсера, выполняющего критически важные для безопасности проверки корректности в отношении UTF-8-кодированного вида ввода, но интерпретирующего определённые недопустимые последовательности октетов как символы.
https://capec.mitre.org/data/definitions/80.html →Открыть в коллекции CAPEC →Атаки типа «Фальсификация журналов веб-сервера» предполагают внедрение, удаление или иное изменение содержимого журналов веб-сервера злоумышленником, как правило, с целью сокрытия других вредоносных действий. Кроме того, запись вредоносных данных в файлы журналов может быть направлена против задач, фильтров, отчётов и других агентов, обрабатывающих журналы в асинхронном шаблоне атаки. Данный шаблон атаки схож с «Внедрением/фальсификацией/подделкой журналов», за исключением того, что в данном случае атака направлена на журналы веб-сервера, а не приложения.
https://capec.mitre.org/data/definitions/81.html →Открыть в коллекции CAPEC →Злоумышленник может формировать специальный пользовательский ввод, содержащий XPath-выражения, для инъекции в XML-базу данных с целью обхода аутентификации или получения информации, к которой у него обычно нет доступа. XPath-инъекция позволяет злоумышленнику взаимодействовать непосредственно с XML-базой данных, полностью обходя приложение. XPath-инъекция является следствием некорректной санитизации входных данных приложением, используемых в составе динамических XPath-выражений для запросов к XML-базе данных.
https://capec.mitre.org/data/definitions/83.html →Открыть в коллекции CAPEC →Данная атака использует частые обмены клиент-сервер в AJAX-взаимодействии для сканирования системы. Хотя Ajax сам по себе не открывает новых уязвимостей, он оптимизирует их с точки зрения злоумышленника. Обычный первый шаг злоумышленника — разведка целевой среды для понимания, какие атаки окажутся эффективными. Поскольку разведка опирается на перечисление, разговорный шаблон быстрых множественных запросов и ответов, характерный для Ajax-приложений, позволяет злоумышленнику проверять множество уязвимостей, известных портов, сетевых ресурсов и т. д. Сведения, полученные в ходе AJAX-разведки, могут использоваться для поддержки других атак, таких как XSS.
https://capec.mitre.org/data/definitions/85.html →Открыть в коллекции CAPEC →При данном типе атаки злоумышленник внедряет команды операционной системы в существующие функции приложения. Уязвимым является любое приложение, использующее непроверенные входные данные для формирования командных строк. Злоумышленник может использовать внедрение команд ОС в приложении для повышения привилегий, выполнения произвольных команд и компрометации базовой операционной системы.
https://capec.mitre.org/data/definitions/88.html →Открыть в коллекции CAPEC →Злоумышленник может воспользоваться внедрением директив SSI (Server Side Include), чтобы передать код в веб-приложение, который затем выполнится на стороне веб-сервера. Это позволяет злоумышленнику добиться результатов, схожих с межсайтовым скриптингом, а именно — произвольного выполнения кода и раскрытия информации, пусть и в более ограниченном масштабе, поскольку директивы SSI значительно уступают по возможностям полноценным языкам сценариев. Тем не менее злоумышленник может получить доступ к конфиденциальным файлам, таким как файлы паролей, и выполнять команды командного интерпретатора.
https://capec.mitre.org/data/definitions/101.html →Открыть в коллекции CAPEC →Злоумышленник вынуждает жертву загрузить в браузер содержимое, обходящее средства контроля зон безопасности, и получает повышенные привилегии для выполнения сценариев или иных веб-объектов, таких как неподписанные элементы управления ActiveX или апплеты. Это атака с повышением привилегий, направленная против механизма зональной безопасности веб-браузера.
https://capec.mitre.org/data/definitions/104.html →Открыть в коллекции CAPEC →Злоумышленник использует стандартные методы внедрения SQL-кода для передачи данных в командную строку с целью их выполнения. Это может быть сделано напрямую — через злоупотребление такими директивами, как MSSQL_xp_cmdshell, — либо косвенно, путём внедрения данных в базу данных, которые впоследствии будут интерпретированы как команды командного интерпретатора. Через некоторое время непорядочное серверное приложение (или компонент того же приложения) извлекает внедрённые данные из базы данных и использует их в качестве аргументов командной строки без надлежащей проверки. Вредоносные данные выходят за пределы уровня данных, порождая новые команды для выполнения на хосте.
https://capec.mitre.org/data/definitions/108.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует слабость в коде доступа к базе данных, сгенерированном инструментом объектно-реляционного отображения (ORM), или некорректное использование разработчиком фреймворка сохранения данных, внедряя собственные SQL-команды для выполнения в базовой базе данных. Атака схожа с обычным внедрением SQL-кода, однако приложение не использует JDBC для прямого обращения к базе данных, а вместо этого применяет уровень доступа к данным, сгенерированный ORM-инструментом или фреймворком (например, Hibernate). Хотя код, сгенерированный ORM-инструментом, в большинстве случаев содержит безопасные методы доступа, защищённые от внедрения SQL-кода, иногда — вследствие слабости сгенерированного кода или ненадлежащего использования разработчиком сгенерированных методов — внедрение SQL-кода всё же остаётся возможным.
https://capec.mitre.org/data/definitions/109.html →Открыть в коллекции CAPEC →Злоумышленник изменяет параметры SOAP-сообщения, направляемого от потребителя сервиса к поставщику, с целью осуществления атаки путём внедрения SQL-кода. На стороне поставщика SOAP-сообщение анализируется, а параметры перед использованием для обращения к базе данных не проходят надлежащую проверку и не используют привязку параметров, что позволяет злоумышленнику управлять структурой выполняемого SQL-запроса. Данный шаблон описывает атаку с внедрением SQL-кода, где средством доставки служит SOAP-сообщение.
https://capec.mitre.org/data/definitions/110.html →Открыть в коллекции CAPEC →Злоумышленник активно зондирует цель способами, направленными на получение информации, которая могла бы быть использована в вредоносных целях.
https://capec.mitre.org/data/definitions/116.html →Открыть в коллекции CAPEC →Злоумышленник применяет повторяющееся кодирование набора символов (то есть кодирует символ, уже закодированный с использованием кодировки символов) для обфускации полезной нагрузки конкретного запроса. Это может позволить злоумышленнику обойти фильтры, пытающиеся обнаружить недопустимые символы или строки, — в частности, те, которые могут использоваться в атаках выхода за пределы каталога или внедрения. Фильтры могут перехватывать закодированные недопустимые строки, но не способны перехватить дважды закодированные строки. Например, точка (.), часто используемая в атаках выхода за пределы каталога и потому нередко блокируемая фильтрами, может быть URL-закодирована как %2E. Однако многие фильтры распознают данное кодирование и всё равно заблокируют запрос. При двойном кодировании знак % в приведённом URL-кодировании снова кодируется как %25, что даёт %252E — строку, которую некоторые фильтры не распознают, однако интерпретаторы на целевой стороне по-прежнему могут трактовать как точку (.).
https://capec.mitre.org/data/definitions/120.html →Открыть в коллекции CAPEC →Злоумышленник включает символы форматирования в поле строкового ввода целевого приложения. Большинство приложений предполагают, что пользователи будут вводить статический текст, и могут непредсказуемо реагировать на наличие символов форматирования. Например, в ряде функций языка программирования C, таких как printf, символ формата %s выводит содержимое адреса памяти, ожидая, что по данному адресу находится строка, а символ формата %n выводит количество записанных в память DWORD. Злоумышленник может использовать это для чтения или записи в адреса памяти или файлов либо просто для непредвиденного изменения значения результирующего текста. Чтение или запись в память может приводить к аварийному завершению программы, а запись в память может обеспечивать выполнение произвольного кода, если злоумышленник способен выполнять запись в стек программы.
https://capec.mitre.org/data/definitions/135.html →Открыть в коллекции CAPEC →Злоумышленник манипулирует LDAP-запросом или формирует его специальным образом с целью подрыва безопасности цели. Некоторые приложения используют вводимые пользователем данные для формирования LDAP-запросов, которые затем обрабатываются LDAP-сервером. Например, пользователь может указать своё имя при аутентификации, и оно может быть включено в LDAP-запрос в процессе аутентификации. Злоумышленник может использовать эти данные для внедрения в LDAP-запрос дополнительных команд, способных раскрыть конфиденциальную информацию. Например, ввод символа * в упомянутый запрос может вернуть сведения обо всех пользователях системы. Данная атака во многом схожа с внедрением SQL-кода: она манипулирует запросом для получения дополнительных сведений или принуждения к возврату определённого значения.
https://capec.mitre.org/data/definitions/136.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует слабость в проверке входных данных, управляя форматом, структурой и составом данных, поступающих в интерфейс обработки входных данных. Подавая входные данные нестандартной или неожиданной формы, злоумышленник может негативно воздействовать на безопасность цели.
https://capec.mitre.org/data/definitions/153.html →Открыть в коллекции CAPEC →Злоумышленник проводит зондирование и разведку для идентификации компонентов и свойств цели.
https://capec.mitre.org/data/definitions/169.html →Открыть в коллекции CAPEC →Злоумышленник обманом вынуждает жертву выполнить вредоносное Flash-содержимое, которое исполняет команды или осуществляет Flash-обращения, указанные злоумышленником. Одним из примеров данной атаки является межсайтовое Flash-перенаправление: управляемый злоумышленником параметр в обращении загружает содержимое, указанное злоумышленником.
https://capec.mitre.org/data/definitions/182.html →Открыть в коллекции CAPEC →Злоумышленник создаёт файл со сценарным содержимым, при этом указанный MIME-тип файла таков, что обработка сценариев не предполагается. Злоумышленник обманом вынуждает жертву перейти по URL-адресу, возвращающему файл сценария. Некоторые браузеры обнаруживают, что указанный MIME-тип файла не соответствует фактическому типу его содержимого, и автоматически переключаются на использование интерпретатора для реального типа содержимого. Если браузер не вызывает фильтры сценариев до этого переключения, сценарий злоумышленника может выполниться в незашифрованном виде в браузере жертвы, раскрывая cookie жертвы или выполняя произвольный сценарий в её браузере.
https://capec.mitre.org/data/definitions/209.html →Открыть в коллекции CAPEC →Злоумышленник сравнивает вывод целевой системы с известными признаками, однозначно идентифицирующими конкретные характеристики цели. Чаще всего снятие отпечатка выполняется для определения версий операционной системы и приложений. Снятие отпечатка может осуществляться как пассивным, так и активным способом. Сам по себе данный метод, как правило, не наносит ущерба цели. Однако информация, полученная в ходе снятия отпечатка, нередко позволяет злоумышленнику обнаруживать существующие слабости в цели.
https://capec.mitre.org/data/definitions/224.html →Открыть в коллекции CAPEC →Приложениям нередко требуется преобразовывать данные из/в формат данных (например, XML и YAML) с использованием анализатора. Злоумышленник может иметь возможность внедрять данные, способные оказывать негативное воздействие на анализатор в процессе обработки. Многие языки форматов данных допускают определение структур, схожих с макросами, способных упрощать создание сложных структур. Вкладывая эти структуры друг в друга и вызывая многократную подстановку данных, злоумышленник может вынудить анализатор потреблять больше ресурсов при обработке, что ведёт к избыточному потреблению памяти и нагрузке на процессор.
https://capec.mitre.org/data/definitions/230.html →Открыть в коллекции CAPEC →Злоумышленник внедряет чрезмерно большие полезные нагрузки сериализованных данных в анализатор в процессе обработки данных для оказания негативного воздействия на анализатор, такого как исчерпание системных ресурсов и выполнение произвольного кода.
https://capec.mitre.org/data/definitions/231.html →Открыть в коллекции CAPEC →Злоумышленник использует специально созданные управляемые пользователем XML-входные данные для зондирования, атаки и внедрения данных в XML-базу данных, применяя техники, аналогичные внедрению SQL-кода. Управляемые пользователем входные данные могут обеспечить несанкционированный просмотр данных, обход аутентификации или фронтального приложения для прямого доступа к XML-базе данных, а также потенциальное изменение информации в базе данных.
https://capec.mitre.org/data/definitions/250.html →Открыть в коллекции CAPEC →Злоумышленник, имеющий право на отправку запросов к цели, направляет варианты ожидаемых запросов в надежде на то, что эти изменённые запросы вернут информацию (напрямую или косвенно через журналы ошибок), выходящую за рамки того, что должен предоставлять стандартный набор запросов.
https://capec.mitre.org/data/definitions/261.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует возможность кодирования потенциально опасных входных данных или содержимого, используемых приложениями, таким образом, что приложения оказываются не в состоянии проверять данное кодирование надлежащим образом.
https://capec.mitre.org/data/definitions/267.html →Открыть в коллекции CAPEC →Злоумышленник отправляет ICMP-сообщение типа 8 (Echo Request), широко известное как «Ping», чтобы определить, доступна ли целевая система. Если запрос не заблокирован межсетевым экраном или ACL, целевой хост ответит ICMP-датаграммой типа 0 (Echo Reply). Такой обмен обычно называют «Ping» по одноимённой утилите, имеющейся почти во всех операционных системах. Ping, в типичной реализации, позволяет пользователю проверять доступность хостов, измерять время двойного обхода и процент потери пакетов.
https://capec.mitre.org/data/definitions/285.html →Открыть в коллекции CAPEC →Злоумышленник использует SYN-сканирование для определения состояния портов на удалённой цели. SYN-сканирование является наиболее распространённым типом сканирования портов в силу многочисленных преимуществ и малого числа недостатков. В результате начинающие злоумышленники склонны чрезмерно полагаться на SYN-сканирование при выполнении разведки систем. Как метод сканирования, основные преимущества SYN-сканирования — его универсальность и скорость.
https://capec.mitre.org/data/definitions/287.html →Открыть в коллекции CAPEC →Злоумышленник перечисляет MX-записи заданного домена с помощью DNS-запроса. Этот тип сбора информации возвращает имена почтовых серверов в сети. Почтовые серверы нередко не имеют прямого выхода в интернет и располагаются в DMZ сети, защищённой межсетевым экраном. Побочным эффектом такой конфигурации является то, что перечисление MX-записей организации может раскрыть IP-адрес межсетевого экрана или, возможно, других внутренних систем. Злоумышленники нередко прибегают к перечислению MX-записей, когда передача зоны DNS невозможна.
https://capec.mitre.org/data/definitions/290.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует ошибку конфигурации DNS, допускающую передачу зоны. Некоторые внешние DNS-серверы возвращают список IP-адресов и действительных имён хостов. При определённых условиях возможно даже получение данных зоны о внутренней сети организации. В случае успеха злоумышленник получает ценные сведения о топологии целевой организации, включая информацию о конкретных серверах, их роли в IT-инфраструктуре и, возможно, об операционных системах, работающих в сети. Такое поведение зависит от конфигурации, поэтому может потребоваться перебор нескольких DNS-серверов в поисках того, на котором разрешена передача зоны.
https://capec.mitre.org/data/definitions/291.html →Открыть в коллекции CAPEC →Злоумышленник отправляет зонд на IP-адрес, чтобы определить, активен ли хост. Обнаружение хостов — одна из первых фаз сетевой разведки. Злоумышленник обычно начинает с диапазона IP-адресов, принадлежащих целевой сети, и использует различные методы для определения наличия хоста по каждому IP-адресу. Обнаружение хостов нередко называют «Ping»-сканированием по аналогии с гидролокатором. Цель — отправить пакет на IP-адрес и получить ответ от хоста. Таким образом, «ping» может быть практически любым сформированным пакетом при условии, что злоумышленник способен идентифицировать активный хост по его ответу. Атака такого рода, как правило, проводится в виде «ping sweep» — отправки определённого вида ping-запросов на диапазон IP-адресов.
https://capec.mitre.org/data/definitions/292.html →Открыть в коллекции CAPEC →Злоумышленник использует утилиту traceroute для построения карты маршрута, по которому данные проходят через сеть до целевого адреса назначения. Трассировка маршрута позволяет злоумышленнику построить рабочую топологию систем и маршрутизаторов, перечислив системы, через которые проходят данные на пути к целевому компьютеру. Данная атака может возвращать различные результаты в зависимости от типа выполняемой трассировки. Traceroute работает путём отправки пакетов к цели с последовательным увеличением значения поля Time-to-Live в заголовке пакета. При прохождении пакета через каждый узел на пути к назначению его TTL истекает, генерируя диагностическое ICMP-сообщение, идентифицирующее место истечения срока действия пакета. Традиционные методы трассировки маршрута основывались на использовании ICMP и UDP, однако по мере того как всё больше межсетевых экранов стали фильтровать входящие ICMP-пакеты, были разработаны методы трассировки на основе TCP.
https://capec.mitre.org/data/definitions/293.html →Открыть в коллекции CAPEC →Злоумышленник отправляет ICMP-сообщение типа 17 (Address Mask Request) для сбора сведений о конфигурации сети цели. Запросы маски адреса ICMP определены в RFC-950, «Internet Standard Subnetting Procedure». Запрос маски адреса — это ICMP-сообщение типа 17, которое побуждает удалённую систему ответить перечнем связанных подсетей, а также шлюзом по умолчанию и широковещательным адресом посредством ICMP-датаграммы типа 18 (Address Mask Reply). Сбор такой информации помогает злоумышленнику планировать атаки на маршрутизаторы, а также атаки типа «отказ в обслуживании» против широковещательного адреса.
https://capec.mitre.org/data/definitions/294.html →Открыть в коллекции CAPEC →Данный шаблон атаки использует стандартные запросы для определения точного времени, ассоциированного с целевой системой. Злоумышленник может использовать временную метку, возвращённую целью, для атаки на основанные на времени алгоритмы безопасности, такие как генераторы случайных чисел или механизмы аутентификации на основе времени.
https://capec.mitre.org/data/definitions/295.html →Открыть в коллекции CAPEC →Злоумышленник отправляет ICMP Information Request хосту, чтобы проверить, ответит ли тот на этот устаревший механизм. ICMP Information Requests — устаревший тип сообщений. Изначально запросы информации использовались для того, чтобы бездисковые компьютеры могли автоматически получать конфигурацию сети, однако этот тип сообщений был вытеснен более надёжными реализациями протоколов, такими как DHCP.
https://capec.mitre.org/data/definitions/296.html →Открыть в коллекции CAPEC →Злоумышленник отправляет TCP-сегмент с установленным флагом ACK удалённому хосту для определения его доступности. Это один из нескольких типов TCP-«пинга». Ожидаемое поведение по RFC 793 для службы — ответить пакетом RST («reset») на любой незапрошенный ACK-сегмент, не являющийся частью существующего соединения. Таким образом, отправив ACK-сегмент на порт, злоумышленник может определить, что хост активен, по наличию пакета RST. Как правило, удалённый сервер отвечает RST вне зависимости от того, открыт порт или закрыт. В связи с этим TCP ACK Ping не позволяет определить состояние удалённого порта, поскольку поведение в обоих случаях одинаково. Межсетевой экран просматривает ACK-пакет в своей таблице состояний и отбрасывает сегмент, поскольку он не соответствует ни одному активному соединению. TCP ACK Ping может использоваться для определения доступности хоста по пакетам RST, отправляемым хостом в ответ.
https://capec.mitre.org/data/definitions/297.html →Открыть в коллекции CAPEC →Злоумышленник отправляет UDP-датаграмму удалённому хосту для определения его доступности. Если UDP-датаграмма отправлена на открытый UDP-порт, ответ нередко отсутствует, поэтому типичная стратегия UDP-пинга — отправка датаграммы на случайный порт с высоким номером на цели. Цель — получить от цели сообщение «ICMP port unreachable», свидетельствующее о доступности хоста. UDP-пинги полезны, поскольку некоторые межсетевые экраны не настроены на блокировку UDP-датаграмм, отправляемых на нестандартные или редко используемые порты, например порты в диапазоне 65K. Кроме того, хотя некоторые межсетевые экраны могут фильтровать входящие ICMP-пакеты, уязвимости в наборах правил межсетевого экрана могут допускать определённые типы ICMP (host unreachable, port unreachable), которые полезны для попыток UDP-пинга.
https://capec.mitre.org/data/definitions/298.html →Открыть в коллекции CAPEC →Злоумышленник использует TCP SYN-пакеты как средство обнаружения хостов. Типичное поведение по RFC 793 предусматривает, что когда TCP-порт открыт, хост должен ответить на входящий SYN-пакет («synchronize»), завершив второй этап «трёхстороннего рукопожатия» — отправив SYN/ACK в ответ. Когда порт закрыт, поведение по RFC 793 — ответить пакетом RST («reset»). Это поведение можно использовать для «пинга» цели с целью проверки её доступности: отправить TCP SYN-пакет на порт и затем отслеживать RST или ACK-пакет в ответ.
https://capec.mitre.org/data/definitions/299.html →Открыть в коллекции CAPEC →Злоумышленник использует комбинацию методов для определения состояния портов на удалённой цели. Для каждой службы или приложения, доступного по TCP или UDP в сети, открыт соответствующий порт для коммуникации.
https://capec.mitre.org/data/definitions/300.html →Открыть в коллекции CAPEC →Злоумышленник использует полные попытки установления TCP-соединений для определения состояния порта на целевой системе. Процесс сканирования включает выполнение «трёхстороннего рукопожатия» с удалённым портом и сообщает о закрытии порта, если полное рукопожатие не может быть установлено. Преимущество TCP connect-сканирования заключается в том, что оно работает с любым TCP/IP-стеком.
https://capec.mitre.org/data/definitions/301.html →Открыть в коллекции CAPEC →Злоумышленник использует TCP FIN-сканирование для определения закрытых портов на целевом компьютере. Данный метод сканирования реализуется путём отправки TCP-сегментов с установленным битом FIN в заголовке пакета. Ожидаемое поведение по RFC 793 состоит в том, что любой TCP-сегмент с неожиданным флагом, отправленный на открытый порт, отбрасывается, тогда как сегменты с неожиданными флагами, отправленные на закрытые порты, должны обрабатываться с RST в ответ. Это поведение позволяет злоумышленнику сканировать закрытые порты, отправляя определённые типы нарушающих правила пакетов и обнаруживая закрытые порты по RST-пакетам.
https://capec.mitre.org/data/definitions/302.html →Открыть в коллекции CAPEC →Злоумышленник использует TCP XMAS-сканирование для определения закрытых портов на целевом компьютере. Данный метод реализуется путём отправки TCP-сегментов со всеми возможными установленными флагами в заголовке пакета, формируя пакеты, являющиеся недопустимыми согласно RFC 793. Ожидаемое поведение по RFC 793 состоит в том, что любой TCP-сегмент с неожиданным флагом, отправленный на открытый порт, отбрасывается, тогда как сегменты с неожиданными флагами, отправленные на закрытые порты, должны обрабатываться с RST в ответ. Это поведение позволяет злоумышленнику сканировать закрытые порты и обнаруживать их по RST-пакетам.
https://capec.mitre.org/data/definitions/303.html →Открыть в коллекции CAPEC →Злоумышленник использует TCP Null-сканирование для определения закрытых портов на целевом компьютере. Данный метод реализуется путём отправки TCP-сегментов без каких-либо флагов в заголовке пакета, формируя пакеты, являющиеся недопустимыми согласно RFC 793. Ожидаемое поведение по RFC 793 состоит в том, что любой TCP-сегмент с неожиданным флагом, отправленный на открытый порт, отбрасывается, тогда как сегменты с неожиданными флагами, отправленные на закрытые порты, должны обрабатываться с RST в ответ. Это поведение позволяет злоумышленнику сканировать закрытые порты и обнаруживать их по RST-пакетам.
https://capec.mitre.org/data/definitions/304.html →Открыть в коллекции CAPEC →Злоумышленник использует TCP ACK-сегменты для сбора сведений о конфигурации межсетевого экрана или ACL. Цель данного типа сканирования — получить информацию о конфигурации фильтров, а не о состоянии портов. Данный тип сканирования редко полезен сам по себе, однако в сочетании с SYN-сканированием даёт более полное представление о типе действующих правил межсетевого экрана.
https://capec.mitre.org/data/definitions/305.html →Открыть в коллекции CAPEC →Злоумышленник применяет TCP Window-сканирование для анализа состояния портов и определения типа операционной системы. TCP Window-сканирование использует метод ACK-сканирования, но исследует поле размера TCP-окна ответных RST-пакетов для получения определённых выводов. Хотя TCP Window-сканирование выполняется быстро и относительно незаметно, оно работает с меньшим числом TCP-стеков, чем любой другой тип сканирования. Некоторые операционные системы возвращают положительный размер TCP-окна в RST-пакете, отправленном с открытого порта, и отрицательное значение, когда RST исходит с закрытого порта. TCP Window-сканирование — один из наиболее сложных типов сканирования, а его результаты сложно интерпретировать. Window-сканирование само по себе редко даёт полезную информацию, однако в сочетании с другими типами сканирования оно более информативно. В целом это более надёжный способ получить выводы о версиях операционных систем, чем о состоянии портов.
https://capec.mitre.org/data/definitions/306.html →Открыть в коллекции CAPEC →Злоумышленник сканирует RPC-службы, прослушивающие Unix/Linux-хост.
https://capec.mitre.org/data/definitions/307.html →Открыть в коллекции CAPEC →Злоумышленник применяет UDP-сканирование для сбора сведений о состоянии UDP-портов на целевой системе. Методы UDP-сканирования включают отправку UDP-датаграммы на целевой порт и поиск признаков того, что порт закрыт. Открытые UDP-порты, как правило, не отвечают на UDP-датаграммы, поскольку в протоколе отсутствует механизм с отслеживанием состояния, требующий установления сессии. Ответы на UDP-датаграммы являются специфичными для приложения и не могут использоваться как надёжный метод обнаружения открытого порта. UDP-сканирование в значительной мере опирается на диагностические ICMP-сообщения для определения состояния удалённого порта.
https://capec.mitre.org/data/definitions/308.html →Открыть в коллекции CAPEC →Злоумышленник выполняет сканирование для составления карты сетевых узлов, хостов, устройств и маршрутов. Злоумышленники, как правило, проводят такую сетевую разведку на ранних этапах атаки на внешнюю сеть. Обычно применяется широкий спектр утилит сканирования, включая инструменты на основе ICMP, сетевые картографы, сканеры портов и утилиты тестирования маршрутов, такие как traceroute.
https://capec.mitre.org/data/definitions/309.html →Открыть в коллекции CAPEC →Злоумышленник осуществляет сканирование для поиска уязвимых версий или типов программного обеспечения, таких как версии операционных систем или сетевые службы. Уязвимые или поддающиеся эксплуатации сетевые конфигурации, например ненадлежащим образом защищённые межсетевым экраном системы или некорректно настроенные системы в DMZ или во внешней сети, предоставляют злоумышленнику возможности для атаки. К распространённым типам уязвимого программного обеспечения относятся неисправленные операционные системы или службы (например, FTP, Telnet, SMTP, SNMP), работающие на открытых портах, выявленных злоумышленником. Злоумышленники обычно начинают поиск уязвимого программного обеспечения после сканирования портов внешней сети и выявления потенциальных целей.
https://capec.mitre.org/data/definitions/310.html →Открыть в коллекции CAPEC →Злоумышленник выполняет действия для определения операционной системы или версии прошивки удалённой цели, опрашивая устройство, сервер или платформу с помощью зонда, призванного вызвать поведение, которое раскроет сведения об операционных системах или прошивках в среде. Обнаружение операционной системы возможно, поскольку реализации общих протоколов (таких как IP или TCP) различаются характерным образом. Хотя различия в реализациях недостаточны для «нарушения» совместимости с протоколом, они обнаруживаемы: цель реагирует уникальным образом на специфическую зондирующую активность, нарушающую семантические или логические правила конструирования пакетов для протокола. Различные операционные системы дают уникальный ответ на аномальный ввод, что является основой для снятия отпечатка ОС. Данный тип снятия отпечатка ОС позволяет различать типы и версии операционных систем.
https://capec.mitre.org/data/definitions/312.html →Открыть в коллекции CAPEC →Злоумышленник выполняет действия для определения версии или типа программного обеспечения ОС в среде путём пассивного наблюдения за обменом данными между устройствами, узлами или приложениями. Пассивные методы снятия отпечатка операционной системы не отправляют реальных зондов к цели, а отслеживают сетевой обмен данными или обмен между клиентом и сервером для идентификации операционных систем на основе наблюдаемого поведения в сравнении с базой данных известных сигнатур или значений. Хотя пассивное снятие отпечатка ОС, как правило, менее надёжно, чем активные методы, оно обычно лучше уклоняется от обнаружения.
https://capec.mitre.org/data/definitions/313.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС анализирует алгоритм генерации порядкового номера поля IP «ID» удалённого хоста. Операционные системы генерируют IP «ID»-номера по-разному, что позволяет злоумышленнику идентифицировать операционную систему хоста, анализируя порядок присвоения ID-номеров при генерации ответных пакетов. RFC 791 не определяет способ выбора ID-номеров и их диапазоны, поэтому генерация последовательностей ID различается в зависимости от реализации. Существуют два вида анализа последовательностей IP «ID»: анализ последовательностей IP «ID» — анализ алгоритма генерации последовательностей IP «ID» для одного протокола, используемого хостом, и анализ разделяемых последовательностей IP «ID» — анализ порядка пакетов на основе значений IP «ID» в нескольких протоколах, например между ICMP и TCP.
https://capec.mitre.org/data/definitions/317.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС проверяет, отражает ли удалённый хост значение IP «ID» из зондирующего пакета. Злоумышленник отправляет UDP-датаграмму с произвольным значением IP «ID» на закрытый порт удалённого хоста, чтобы наблюдать способ отражения этого бита в ICMP-сообщении об ошибке. Поле идентификации (ID) обычно используется для повторной сборки фрагментированного пакета. Некоторые операционные системы или прошивки маршрутизаторов меняют порядок байтов поля ID при отражении IP-заголовка исходной датаграммы в ICMP-сообщении об ошибке.
https://capec.mitre.org/data/definitions/318.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС проверяет, отражает ли удалённый хост бит IP «DF» (Don't Fragment) в ответном пакете. Злоумышленник отправляет UDP-датаграмму с установленным битом DF на закрытый порт удалённого хоста, чтобы наблюдать, установлен ли бит «DF» в ответном пакете. Некоторые операционные системы отражают этот бит в ICMP-сообщении об ошибке, тогда как другие обнуляют бит в ответном пакете.
https://capec.mitre.org/data/definitions/319.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС исследует реализацию временных меток TCP удалённого сервера. Не все операционные системы реализуют временные метки в TCP-заголовке, однако когда они используются, это предоставляет злоумышленнику возможность угадать операционную систему цели. Злоумышленник начинает с зондирования любой активной TCP-службы, чтобы получить ответ, содержащий временную метку TCP. Различные операционные системы обновляют значение временной метки через разные интервалы. Данный тип анализа наиболее точен при получении и анализе нескольких ответов с временными метками. Временные метки TCP находятся в поле опций TCP-заголовка.
https://capec.mitre.org/data/definitions/320.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС тестирует механизм присвоения последовательных номеров TCP целевой системой. Один из распространённых способов проверки генерации последовательных номеров TCP — отправить зондирующий пакет на открытый порт цели и затем сравнить соотношение сгенерированного целью последовательного номера с номером подтверждения в зондирующем пакете. Различные операционные системы присваивают последовательные номера по-разному, поэтому отпечаток операционной системы можно получить, категоризировав соотношение между номером подтверждения и последовательным номером следующим образом: 1) последовательный номер, сгенерированный целью, равен нулю; 2) последовательный номер, сгенерированный целью, совпадает с номером подтверждения в зонде; 3) последовательный номер, сгенерированный целью, на единицу превышает номер подтверждения; 4) последовательный номер является любым другим ненулевым числом.
https://capec.mitre.org/data/definitions/321.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС отправляет ряд TCP SYN-пакетов на открытый порт удалённого компьютера. Начальный порядковый номер (ISN) в каждом из ответных пакетов SYN/ACK анализируется для определения наименьшего числа, которое целевой хост использует при увеличении порядковых номеров. Эта информация может быть полезна для идентификации операционной системы, поскольку конкретные операционные системы и их версии увеличивают порядковые номера с использованием разных значений. Результат анализа затем сравнивается с базой данных поведения ОС для определения типа и/или версии ОС.
https://capec.mitre.org/data/definitions/322.html →Открыть в коллекции CAPEC →Данный зонд обнаружения ОС измеряет среднюю скорость приращений начального порядкового номера за период времени. Порядковые номера увеличиваются с использованием алгоритма на основе времени и подвержены временному анализу, позволяющему определить количество приращений в единицу времени. Результат данного анализа затем сравнивается с базой данных операционных систем и версий для определения вероятных совпадений операционной системы.
https://capec.mitre.org/data/definitions/323.html →Открыть в коллекции CAPEC →Данный тип зонда операционной системы пытается определить оценку предсказуемости алгоритма генерации порядковых номеров для удалённого хоста. Статистические методы, такие как стандартное отклонение, могут использоваться для определения предсказуемости генерации порядковых номеров для системы. Этот результат затем может быть сопоставлен с базой данных поведения операционных систем для определения вероятного совпадения операционной системы и версии.
https://capec.mitre.org/data/definitions/324.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС проверяет, поддерживает ли удалённый хост явное уведомление о перегрузке (ECN). ECN-уведомления разработаны для того, чтобы маршрутизаторы могли уведомлять удалённый хост о возникающих проблемах с перегрузкой. Явное уведомление о перегрузке определено в RFC 3168. Различные операционные системы и версии могут реализовывать или не реализовывать ECN-уведомления либо реагировать уникальным образом на определённые типы флагов ECN.
https://capec.mitre.org/data/definitions/325.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС проверяет начальный размер TCP-окна. TCP-стеки ограничивают диапазон допустимых порядковых номеров в рамках сессии для поддержания состояния «connected» в логике протокола TCP. Начальный размер окна определяет диапазон допустимых порядковых номеров, которые будут квалифицироваться как ответ на ACK-пакет в рамках сессии. Различные операционные системы используют разные начальные размеры окна. Начальный размер окна может быть зафиксирован путём установления обычного TCP-соединения.
https://capec.mitre.org/data/definitions/326.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС анализирует тип и порядок любых опций TCP-заголовка, присутствующих в ответном сегменте. Большинство операционных систем используют уникальный порядок и разные наборы опций при их наличии. RFC 793 не определяет обязательного порядка при наличии опций, поэтому различные реализации используют уникальные способы упорядочивания или структурирования опций TCP. Опции TCP могут генерироваться обычным TCP-трафиком.
https://capec.mitre.org/data/definitions/327.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС выполняет контрольное суммирование ASCII-данных, содержащихся в полезной нагрузке пакета RST. Некоторые операционные системы включают удобочитаемое текстовое сообщение в полезную нагрузку пакета «RST» (сброс) при возникновении определённых типов ошибок соединения. RFC 1122 допускает текстовые полезные нагрузки в пакетах сброса, однако не все операционные системы и маршрутизаторы реализуют эту функциональность.
https://capec.mitre.org/data/definitions/328.html →Открыть в коллекции CAPEC →Злоумышленник использует технику для генерации ICMP-сообщения об ошибке (Port Unreachable, Destination Unreachable, Redirect, Source Quench, Time Exceeded, Parameter Problem) с цели, после чего анализирует объём данных, возвращённых или «процитированных» из исходного запроса, сгенерировавшего ICMP-сообщение об ошибке.
https://capec.mitre.org/data/definitions/329.html →Открыть в коллекции CAPEC →Злоумышленник использует технику для генерации ICMP-сообщения об ошибке (Port Unreachable, Destination Unreachable, Redirect, Source Quench, Time Exceeded, Parameter Problem) с цели, после чего анализирует целостность данных, возвращённых или «процитированных» из исходного запроса, сгенерировавшего сообщение об ошибке.
https://capec.mitre.org/data/definitions/330.html →Открыть в коллекции CAPEC →Злоумышленник тщательно разрабатывает небольшие фрагменты JavaScript для эффективного определения типа браузера потенциальной жертвы. Многие веб-атаки требуют предварительного знания браузера, включая его версию, для успешной эксплуатации уязвимости. Наличие этих знаний позволяет злоумышленнику нацелить атаки непосредственно на известные или ранее неизвестные уязвимости конкретного типа и версии браузера жертвы. Автоматизация этого процесса с помощью JavaScript в рамках той же системы доставки, что используется для эксплуатации браузера, считается более эффективной: злоумышленник может встроить метод снятия отпечатка браузера и интегрировать его с кодом эксплуатации — всё в виде JavaScript в ответ на тот же запрос браузера.
https://capec.mitre.org/data/definitions/472.html →Открыть в коллекции CAPEC →Злоумышленник генерирует сообщение или блок данных, заставляющий получателя считать, что сообщение или блок данных были сформированы и криптографически подписаны авторитетным или надёжным источником, вводя тем самым жертву или операционную систему в заблуждение и побуждая к выполнению вредоносных действий.
https://capec.mitre.org/data/definitions/473.html →Открыть в коллекции CAPEC →Злоумышленник выполняет разведывательные действия для определения наличия распространённых ключевых файлов. Такие файлы нередко содержат параметры конфигурации и безопасности целевого приложения, системы или сети. Полученные знания зачастую открывают путь к более серьёзным атакам.
https://capec.mitre.org/data/definitions/497.html →Открыть в коллекции CAPEC →При атаке подглядывания через плечо злоумышленник наблюдает за нажатиями клавиш, содержимым экрана или разговорами ничего не подозревающего человека с целью получения конфиденциальной информации. Одним из мотивов данной атаки является получение конфиденциальной информации о цели в финансовых, личных, политических или иных целях. С точки зрения инсайдерской угрозы дополнительным мотивом может быть получение учётных данных для системы/приложения или криптографических ключей. Атаки подглядывания через плечо осуществляются путём наблюдения за содержимым «через плечо жертвы», как следует из названия данной атаки.
https://capec.mitre.org/data/definitions/508.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует функциональность, предназначенную для предоставления авторизованному пользователю информации о текущих запущенных процессах на целевой системе. Зная, какие процессы выполняются на целевой системе, злоумышленник получает сведения о целевой среде как средство для дальнейшего вредоносного поведения.
https://capec.mitre.org/data/definitions/573.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует функциональность, предназначенную для предоставления авторизованному пользователю информации о службах целевой системы. Зная, какие службы зарегистрированы на целевой системе, злоумышленник получает сведения о целевой среде как средство для дальнейшего вредоносного поведения. В зависимости от операционной системы команды для получения информации о службах включают «sc» и «tasklist/svc» с помощью Tasklist, а также «net start» с помощью Net.
https://capec.mitre.org/data/definitions/574.html →Открыть в коллекции CAPEC →Злоумышленник использует функциональность, предназначенную для предоставления авторизованному пользователю сведений о доменных учётных записях и их правах на целевой системе. Зная, какие учётные записи зарегистрированы на целевой системе, злоумышленник может планировать более целенаправленные вредоносные действия. Примеры команд Windows, позволяющих получить эту информацию: "net user" и "dsquery".
https://capec.mitre.org/data/definitions/575.html →Открыть в коллекции CAPEC →Злоумышленник использует функциональность, предназначенную для предоставления авторизованному пользователю сведений о группах пользователей и их правах на целевой системе. Зная, какие пользователи и права зарегистрированы на целевой системе, злоумышленник может планировать более целенаправленные вредоносные действия. Пример команды Windows для вывода списка локальных групп: "net localgroup".
https://capec.mitre.org/data/definitions/576.html →Открыть в коллекции CAPEC →Злоумышленник использует функциональность, предназначенную для предоставления авторизованному пользователю сведений об основных пользователях целевой системы. Для этого он может, например, просматривать записи входов или время изменения файлов. Зная, кто является владельцами на целевой системе, злоумышленник может планировать более целенаправленные вредоносные действия. Пример команды Windows, позволяющей это сделать: "dir /A ntuser.dat" — она выводит время последнего изменения файла ntuser.dat пользователя при выполнении в корневом каталоге этого пользователя. Данное время соответствует последнему времени входа этого пользователя в систему.
https://capec.mitre.org/data/definitions/577.html →Открыть в коллекции CAPEC →Данный тип атаки представляет собой форму межсайтового скриптинга (XSS), при которой вредоносный скрипт внедряется в HTML-код на стороне клиента, разбираемый веб-браузером. Содержимое, передаваемое уязвимым веб-приложением, включает код скрипта, предназначенный для манипулирования объектной моделью документа (DOM). Этот код скрипта либо не выполняет надлежащую проверку входных данных, либо не проводит корректного кодирования вывода, что создаёт возможность для внедрения злоумышленником вредоносного скрипта и проведения XSS-атаки. Ключевое отличие DOM-атак от других XSS-атак состоит в том, что при иных XSS-атаках вредоносный скрипт выполняется при первоначальной загрузке уязвимой веб-страницы, тогда как DOM-атака выполняется спустя некоторое время после загрузки страницы. Ещё одна особенность DOM-атак заключается в том, что в ряде случаев вредоносный скрипт вообще не отправляется на уязвимый веб-сервер. Такая атака гарантированно обходит любые попытки серверной фильтрации для защиты пользователей.
https://capec.mitre.org/data/definitions/588.html →Открыть в коллекции CAPEC →Злоумышленник предоставляет вредоносную версию ресурса по адресу, схожему с ожидаемым расположением легитимного ресурса. Создав поддельный ресурс, злоумышленник ожидает, пока жертва посетит его и обратится к вредоносному ресурсу.
https://capec.mitre.org/data/definitions/616.html →Открыть в коллекции CAPEC →Злоумышленник обнаруживает связи между системами, используя стандартную практику целевой системы раскрывать их в общедоступных местах. Определив общие папки/диски между системами, злоумышленник может продвигать свои цели по обнаружению и сбору конфиденциальной информации/файлов или составлению карты возможных маршрутов для горизонтального перемещения по сети.
https://capec.mitre.org/data/definitions/643.html →Открыть в коллекции CAPEC →Злоумышленники могут пытаться получить информацию о подключённых периферийных устройствах и компонентах компьютерной системы. Примеры включают обнаружение iOS-устройств путём поиска резервных копий, анализ реестра Windows для определения подключавшихся USB-устройств или заражение системы жертвы вредоносным программным обеспечением для получения уведомлений о подключении USB-устройства. Это может позволить злоумышленнику получить дополнительные сведения о системе или сетевой среде, что может быть использовано для разработки последующих атак.
https://capec.mitre.org/data/definitions/646.html →Открыть в коллекции CAPEC →Злоумышленник перехватывает форму коммуникации (например, текст, аудио, видео) с помощью программных средств (например, микрофона и приложения для записи аудио), аппаратных средств (например, записывающего оборудования) или физических методов (например, физической близости). Цель прослушивания, как правило, состоит в получении несанкционированного доступа к конфиденциальной информации о цели в финансовых, личных, политических или иных целях. Прослушивание отличается от атаки перехватом пакетов тем, что не осуществляется по сетевому каналу связи (например, IP-трафику). Вместо этого оно предполагает прослушивание необработанного аудиоисточника разговора между двумя и более сторонами.
https://capec.mitre.org/data/definitions/651.html →Открыть в коллекции CAPEC →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/664.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| 365_apps | * | Эксплуатируется |
| office | * | Эксплуатируется |
| office_long_term_servicing_channel | * | Эксплуатируется |
| word | * | Эксплуатируется |
| Windows | Microsoft | Эксплуатируется |
| Windows | Microsoft | Эксплуатируется |
| Windows | Microsoft | Эксплуатируется |
| Windows | Microsoft | Эксплуатируется |
| Windows | Microsoft | Эксплуатируется |
| Windows | Microsoft | Эксплуатируется |
| Windows | Microsoft | Эксплуатируется |
| Windows | Microsoft | Эксплуатируется |
| Windows | Microsoft | Эксплуатируется |
| Windows | Microsoft | Эксплуатируется |
| Windows | Microsoft | Эксплуатируется |
| Windows | Microsoft | Эксплуатируется |
| Windows | Microsoft | Эксплуатируется |
| Windows | Microsoft | Эксплуатируется |
| Windows | Microsoft | Эксплуатируется |
| Windows | Microsoft | Эксплуатируется |