最新版本(mm/dd/yy): 12/19/2013
*翻译至Repudiation Attack
概述
当应用程序或系统未采用控制措施来正确跟踪和记录用户的操作时,会发生拒绝攻击,从而允许恶意操纵或伪造新操作的标识。此攻击可用于更改恶意用户执行的操作的创作信息,以便将错误数据记录到日志文件。它的使用可以扩展到以他人名义进行的一般数据操作,类似于欺骗邮件。如果发生这种攻击,则存储在日志文件中的数据可能被认为是无效或误导性的。
风险因素
待定(TBD)
实例
思考一个基于JSESSIONID访问控制和授权的Web应用程序,但注册用户的操作基于Cookie头上定义的用户参数,如下所示:
POST http://someserver/Upload_file.jsp HTTP/1.1
Host: tequila:8443
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://someserver/uploads.jsp
Cookie: JSESSIONID=EE3BD1E764CD6EED280426128201131C; user=leonardo
Content-Type: multipart/form-data; boundary=---------------------------263152394310685
Content-Length: 321
日志文件由以下内容组成:
Date, Time, Source IP, Source port, Request, User
一旦用户信息从HTTP标头上的用户参数获取,恶意用户就可以使用本地代理(例如:paros)并通过已知或未知的用户名进行更改。
相关的威胁代理
- 授权(Authorization)
- 逻辑攻击(Logical Attacks)
相关攻击
- Web参数篡改(Web Parameter Tampering)
相关漏洞
- 输入验证(Input Validation)
- 访问控制漏洞( Access Control Vulnerability)
- 日志记录和审计漏洞( Logging and Auditing Vulnerability)
相关控件
- 注册(Logging])
- 访问控制( Access Control)
参考文献
- http://capec.mitre.org/data/definitions/93.html – Log Injection-Tampering-Forging