はじめに
セキュリティに関して学んだことを黙々と綴っていきます。
まずは、CAPECを淡々と訳していこうかと。
Fault Injection
Malicious Logic Insertion
Hardware Integrity Attack
Object Injection
オブジェクト挿入
引用元:
説明:
シリアル化されたオブジェクトの処理中に、悪意のあるコンテンツを挿入することによってアプリケーションを不正利用しようとする攻撃。
開発者は、ディスクに保存したりネットワークを介して転送したりするために、データや状態を静的なバイナリ形式に変換するためにシリアル化を利用する。これらのオブジェクトは、データ/状態を回復するために必要なときに逆シリアル化される。不正なオブジェクトを脆弱なアプリケーションに挿入することで、攻撃者は逆シリアル化プロセスを操作してアプリケーションを危険にさらす可能性がある。これにより、リモートでコードが実行されるなど、望ましくない結果が多数発生する可能性がある。
関連する弱点:
CWE-ID | Weakness Name |
---|---|
502 | Deserialization of Untrusted Data |
Functionality Bypass
機能バイパス
引用元:
説明:
システムを保護するための機能の一部または全部を迂回することによってシステムを攻撃する。
関連する弱点:
なし。
Local Execution of Code
Contaminate Resource
汚染リソース
引用元:
説明:
ターゲットで許可されていない分類/機密性の情報をターゲットに扱わせることによって、組織の情報システム(デバイスやネットワークを含む)を汚染する攻撃。
関連する弱点:
なし。