Leveraging Active Man in the Middle Attacks to Bypass Same Origin Policy
中間者攻撃を活用した同一オリジンポリシの回避
引用元:
説明:
中間者攻撃により同一オリジンポリシを回避する攻撃。
関連する弱点:
| CWE-ID | Weakness Name |
|---|---|
| 300 | Channel Accessible by Non-Endpoint ('Man-in-the-Middle') |
Application API Message Manipulation via Man-in-the-Middle
中間者攻撃によるアプリケーションAPIの操作
引用元:
説明:
メッセージの内容を変更するために、アプリケーションフレームワーク内でクライアントからの入力データまたは入力データを操作する攻撃。
関連する弱点:
| CWE-ID | Weakness Name |
|---|---|
| 471 | Modification of Assumed-Immutable Data (MAID) |
| 345 | Insufficient Verification of Data Authenticity |
| 346 | Origin Validation Error |
| 602 | Client-Side Enforcement of Server-Side Security |
| 311 | Missing Encryption of Sensitive Data |
Command Injection
コマンド・インジェクション
引用元:
説明:
ターゲットの入力検証またはパーサーの弱点を悪用して、既存のコマンドに新しいコマンドを挿入して、意図したものから解釈を変更させる攻撃。
関連する弱点:
| CWE-ID | Weakness Name |
|---|---|
| 77 | Improper Neutralization of Special Elements used in a Command ('Command Injection') |
Code Injection
コード・インジェクション
引用元:
説明:
ターゲットの入力検証の弱点を悪用して、現在実行中のコードに新しいコードを挿入する攻撃。なお、コード・インクルードとは異なる。コード・インクルードは、コードへの参照の追加または置換を含み、コードは、ターゲットによって実行後にロードされ、一部のアプリケーションのコードの一部として使用される。
関連する弱点:
| CWE-ID | Weakness Name |
|---|---|
| 74 | Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') |
Resource Injection
リソース・インジェクション
引用元:
説明:
リソースの識別子を操作することで入力検証の弱点を悪用し、リソースの意図しない変更または列挙を行う攻撃。
関連する弱点:
| CWE-ID | Weakness Name |
|---|---|
| 99 | Improper Control of Resource Identifiers ('Resource Injection') |
Privilege Escalation
特権昇格
引用元:
説明:
ターゲットシステムの弱点を悪用して特権を昇格させ、特権ユーザのみが許可されている機能を実行する攻撃。
関連する弱点:
なし。
Sustained Client Engagement
クライアントエンゲージの持続
引用元:
説明:
特定のリソースを可能な限り長く拘束し続けることによって、正当なユーザーによるリソースへのアクセスを拒否させる攻撃。
関連する弱点:
なし。
