Неаутентифицированный удаленный злоумышленник (MITM) может перехватывать сообщения веб-сетки, чтобы получить доступ к учетным данным для вх…
Неаутентифицированный удаленный злоумышленник (MITM) может перехватывать сообщения веб-сетки, чтобы получить доступ к учетным данным для входа в систему для Webfrontend.
Страницы входа не используют надлежащих мер защиты имени пользователя и пароля при их передаче от клиента к серверу.
https://cwe.mitre.org/data/definitions/523.html →Открыть в коллекции CWE →Перехват сессии использует незашифрованный канал связи между жертвой и целевой системой. Злоумышленник прослушивает трафик в сети в поисках токенов сессии в незашифрованном трафике. После захвата токена сессии злоумышленник выполняет вредоносные действия, используя похищенный токен в целевом приложении для имперсонации жертвы. Данная атака является разновидностью угона сессии — эксплуатации действующего токена сессии для получения несанкционированного доступа к целевой системе или информации. Другие методы угона сессии включают фиксацию сессии, межсайтовый скриптинг или компрометацию машины пользователя или сервера с последующей кражей токена сессии.
https://capec.mitre.org/data/definitions/102.html →Открыть в коллекции CAPEC →