最新版本(mm/dd/yy): 12/19/2013
*翻译至Repudiation Attack

概述

当应用程序或系统未采用控制措施来正确跟踪和记录用户的操作时，会发生拒绝攻击，从而允许恶意操纵或伪造新操作的标识。此攻击可用于更改恶意用户执行的操作的创作信息，以便将错误数据记录到日志文件。它的使用可以扩展到以他人名义进行的一般数据操作，类似于欺骗邮件。如果发生这种攻击，则存储在日志文件中的数据可能被认为是无效或误导性的。

风险因素

待定（TBD）

实例

思考一个基于JSESSIONID访问控制和授权的Web应用程序，但注册用户的操作基于Cookie头上定义的用户参数，如下所示：

 POST http://someserver/Upload_file.jsp HTTP/1.1
 Host: tequila:8443
 User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4
 Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
 Accept-Language: en-us,en;q=0.5
 Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
 Keep-Alive: 300
 Connection: keep-alive
 Referer: http://someserver/uploads.jsp
 Cookie: JSESSIONID=EE3BD1E764CD6EED280426128201131C; user=leonardo
 Content-Type: multipart/form-data; boundary=---------------------------263152394310685
 Content-Length: 321

日志文件由以下内容组成：

Date, Time, Source IP, Source port, Request, User

一旦用户信息从HTTP标头上的用户参数获取，恶意用户就可以使用本地代理（例如：paros）并通过已知或未知的用户名进行更改。

相关的威胁代理

• 授权（Authorization）
• 逻辑攻击（Logical Attacks）

相关攻击

• Web参数篡改（Web Parameter Tampering）

相关漏洞

• 输入验证（Input Validation)
• 访问控制漏洞（ Access Control Vulnerability）
• 日志记录和审计漏洞（ Logging and Auditing Vulnerability）

相关控件

• 注册（Logging])
• 访问控制（ Access Control)

参考文献

• http://capec.mitre.org/data/definitions/93.html – Log Injection-Tampering-Forging