(OWASP汉化)攻击系列大全(五十二):拒绝攻击

最新版本(mm/dd/yy): 12/19/2013
*翻译至Repudiation Attack

概述

当应用程序或系统未采用控制措施来正确跟踪和记录用户的操作时,会发生拒绝攻击,从而允许恶意操纵或伪造新操作的标识。此攻击可用于更改恶意用户执行的操作的创作信息,以便将错误数据记录到日志文件。它的使用可以扩展到以他人名义进行的一般数据操作,类似于欺骗邮件。如果发生这种攻击,则存储在日志文件中的数据可能被认为是无效或误导性的。

风险因素

待定(TBD)

实例

思考一个基于JSESSIONID访问控制和授权的Web应用程序,但注册用户的操作基于Cookie头上定义的用户参数,如下所示:

 POST http://someserver/Upload_file.jsp HTTP/1.1
 Host: tequila:8443
 User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4
 Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
 Accept-Language: en-us,en;q=0.5
 Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
 Keep-Alive: 300
 Connection: keep-alive
 Referer: http://someserver/uploads.jsp
 Cookie: JSESSIONID=EE3BD1E764CD6EED280426128201131C; user=leonardo
 Content-Type: multipart/form-data; boundary=---------------------------263152394310685
 Content-Length: 321

日志文件由以下内容组成:

Date, Time, Source IP, Source port, Request, User

一旦用户信息从HTTP标头上的用户参数获取,恶意用户就可以使用本地代理(例如:paros)并通过已知或未知的用户名进行更改。

相关的威胁代理

相关攻击

相关漏洞

相关控件

参考文献