Fides - это платформа разработки конфиденциальности с открытым исходным кодом. Конечная точка API принятия приглашения пользователя не имее…
Fides - это платформа разработки конфиденциальности с открытым исходным кодом. Конечная точка API принятия приглашения пользователя не имеет принудительного применения политики паролей на стороне сервера, что позволяет пользователям устанавливать произвольно слабые пароли, обходя проверку на стороне клиента. Хотя пользовательский интерфейс обеспечивает соблюдение требований к сложности пароля, прямые вызовы API могут обойти эти проверки, что позволяет создавать учетные записи с паролями длиной всего в один символ. Когда включен поставщик обмена сообщениями электронной почты и в системе создается новая учетная запись пользователя, на адрес электронной почты нового пользователя отправляется пригласительное письмо, содержащее специальную ссылку. Эта ссылка направляет нового пользователя на страницу, где он может установить свой первоначальный пароль. Хотя пользовательский интерфейс реализует проверки сложности пароля, эти проверки выполняются только на стороне клиента. Базовая конечная точка API `/api/v1/user/accept-invite` не реализует те же проверки политики паролей. Эта уязвимость позволяет приглашенному пользователю установить чрезвычайно слабый пароль для своей учетной записи во время процесса первоначальной настройки учетной записи. Поэтому учетная запись этого конкретного пользователя может быть легко скомпрометирована злоумышленником, угадывающим или перебирающим пароль. Уязвимость была исправлена в Fides версии `2.50.0`. Пользователям рекомендуется обновиться до этой версии или более поздней, чтобы защитить свои системы от этой угрозы. Известных обходных путей для этой уязвимости нет.
Продукт состоит из сервера, который полагается на клиент в реализации механизма, предназначенного для защиты сервера.
https://cwe.mitre.org/data/definitions/602.html →Открыть в коллекции CWE →Нет описания.
https://capec.mitre.org/data/definitions/21.html →Открыть в коллекции CAPEC →Данная атака основана на использовании HTTP-cookie для хранения учётных данных, сведений о состоянии и других критически важных данных в клиентских системах. Существует несколько различных форм этой атаки. Первая форма предполагает доступ к HTTP-cookie с целью извлечения потенциально конфиденциальных данных, содержащихся в них. Вторая форма — перехват этих данных при их передаче от клиента к серверу. Перехваченная информация затем используется злоумышленником для имитации удалённого пользователя/сессии. Третья форма — модификация содержимого cookie злоумышленником перед его отправкой обратно серверу. В этом случае злоумышленник стремится убедить целевой сервер работать на основе этих фальсифицированных данных.
https://capec.mitre.org/data/definitions/31.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует доверие сервера к обработке на стороне клиента, изменяя данные на стороне клиента — например, сведения о цене — и последующей отправкой этих данных серверу, который обрабатывает изменённые данные. Например, электронное мошенничество с покупками (eShoplifting) — это атака на манипуляцию данными, направленная против интернет-магазина в ходе транзакции покупки. Манипуляция полями цены, скидки или количества в транзакционном сообщении позволяет злоумышленнику приобретать товары по стоимости ниже, чем предполагал продавец. Злоумышленник совершает обычную транзакцию покупки, но редактирует скрытые поля HTML-формы с ценами или иными сведениями, чтобы получить более выгодные условия. Продавец затем использует изменённые сведения о цене при расчёте стоимости выбранных товаров.
https://capec.mitre.org/data/definitions/162.html →Открыть в коллекции CAPEC →Злоумышленник создаёт клиентское приложение для взаимодействия с целевым сервисом, при этом клиент нарушает допущения, которые сервис делает в отношении клиентов. Сервисы, имеющие специализированные клиентские приложения (в отличие от сервисов, использующих общие клиентские приложения, таких как почтовые серверы IMAP или POP, способные взаимодействовать с любым клиентом IMAP или POP), могут предполагать, что клиент будет следовать определённым процедурам.
https://capec.mitre.org/data/definitions/202.html →Открыть в коллекции CAPEC →Злоумышленник удаляет или отключает функциональность на стороне клиента, которую сервер считает присутствующей и заслуживающей доверия.
https://capec.mitre.org/data/definitions/207.html →Открыть в коллекции CAPEC →Злоумышленник удаляет или изменяет логику на стороне клиента, связанную с денежными вычислениями, в результате чего на сервер отправляется некорректная информация. Сервер может полагаться на клиент для правильного вычисления денежных значений. Например, сервер может предоставлять цену за товар, а затем рассчитывать итоговую стоимость покупки на основе указанного пользователем количества товаров. Если злоумышленник может удалить или изменить логику, управляющую этими вычислениями, он способен возвращать серверу некорректные значения, что позволяет совершать покупки за долю от реальной стоимости или иным образом уклоняться от правильного выставления счётов.
https://capec.mitre.org/data/definitions/208.html →Открыть в коллекции CAPEC →Злоумышленник регистрирует событие в рамках приложения, после чего отслеживает данные, передаваемые в ходе этого события, с целью сбора важной информации, утечка которой произошла в процессе транзакций. Одним из примеров может служить сбор списков имён пользователей или идентификаторов пользователей для последующей рассылки спама. Один из примеров данного типа атаки: злоумышленник создаёт событие внутри дочернего приложения. Допустим, злоумышленник организует «виртуальную распродажу» редких предметов. По мере того как другие пользователи присоединяются к событию, злоумышленник посредством AiTM-прокси (CAPEC-94) записывает идентификаторы пользователей и имена всех присутствующих. После этого злоумышленник получает возможность рассылать спам этим пользователям внутри приложения с использованием автоматизированного скрипта.
https://capec.mitre.org/data/definitions/383.html →Открыть в коллекции CAPEC →Злоумышленник манипулирует входящими или исходящими данными клиента в рамках приложения с целью изменения содержимого сообщений. Проведение данной атаки может позволить злоумышленнику получить несанкционированные привилегии в приложении или осуществить атаки, такие как фишинг, тактики обмана для распространения вредоносного ПО или традиционные атаки на веб-приложения. Техники требуют использования специализированного программного обеспечения, позволяющего злоумышленнику осуществлять коммуникации «adversary-in-the-middle» (CAPEC-94) между веб-браузером и удалённой системой. Несмотря на использование программного обеспечения AiTM, атака фактически направлена против сервера, поскольку клиент является одним узлом в цепочке контент-брокеров, передающих информацию в инфраструктуру приложения. Кроме того, это не является настоящей атакой «Adversary-in-the-Middle» на сетевом уровне, а представляет собой атаку на уровне приложения, коренная причина которой — доверие основного приложения к целостности кода, поставляемого клиентом.
https://capec.mitre.org/data/definitions/384.html →Открыть в коллекции CAPEC →Злоумышленник регистрируется в событии или транзакции в рамках приложения с целью изменения содержимого сообщений или элементов, которыми обмениваются стороны. Проведение данной атаки позволяет злоумышленнику манипулировать содержимым таким образом, чтобы создавать сообщения или контент, выглядящие аутентично, но содержащие вводящие в заблуждение ссылки, подменять одни элементы другими, имитировать существующий элемент для проведения ложного обмена или иным образом изменять количество или идентичность обмениваемого. Техники требуют использования специализированного программного обеспечения, позволяющего злоумышленнику перехватывать коммуникации «человек посередине» между веб-браузером и удалённой системой с целью изменения содержимого различных элементов приложения. Нередко предметы, которыми обмениваются в игре, могут быть монетизированы через продажу за игровую или реальную валюту. Цель атаки — обмануть жертву путём перехвата пакетов данных, задействованных в обмене, и нарушения целостности процесса передачи.
https://capec.mitre.org/data/definitions/385.html →Открыть в коллекции CAPEC →Злоумышленник манипулирует входящими или исходящими данными клиента в рамках приложения с целью изменения назначения и/или содержимого ссылок/кнопок, отображаемых пользователю в API-сообщениях. Проведение данной атаки позволяет злоумышленнику манипулировать содержимым таким образом, чтобы создавать сообщения или контент, выглядящие аутентично, но содержащие ссылки/кнопки, указывающие на подконтрольный злоумышленнику адрес назначения. Некоторые приложения затрудняют обнаружение перенаправления навигации, поскольку фактические значения HREF изображений, элементов профилей и ссылок/кнопок маскируются. Одним из примеров может служить размещение изображения в фотогалерее пользователя, при нажатии на которое происходит перенаправление на сторонний сайт. Кроме того, традиционные веб-уязвимости (такие как CSRF) могут быть реализованы с использованием перенаправленных кнопок или ссылок. В ряде случаев перенаправление навигации может использоваться для фишинговых атак или как средство искусственного увеличения числа просмотров страниц, репутации пользователя на сайте или мошенничества с кликами.
https://capec.mitre.org/data/definitions/386.html →Открыть в коллекции CAPEC →Злоумышленник манипулирует входящими или исходящими данными клиента в рамках приложения с целью изменения содержимого сообщений и тем самым обхода ожидаемой логики приложения.
https://capec.mitre.org/data/definitions/387.html →Открыть в коллекции CAPEC →Злоумышленник манипулирует входящими или исходящими данными клиента в рамках приложения с целью изменения назначения и/или содержимого кнопок, отображаемых пользователю в API-сообщениях. Проведение данной атаки позволяет злоумышленнику манипулировать содержимым таким образом, чтобы создавать сообщения или контент, выглядящие аутентично, но содержащие кнопки, указывающие на подконтрольный злоумышленнику адрес назначения.
https://capec.mitre.org/data/definitions/388.html →Открыть в коллекции CAPEC →