Definir Manipulação

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

Definir Manipulação
Descrição
Este ataque tem como objetivo modificar as configurações do aplicativo, a fim de fazer com que dados enganosos ou vantagens em nome do invasor. Ele pode manipular valores no sistema e gerenciar os recursos de usuários específicos da aplicação ou afetar suas funcionalidades.
Um atacante pode explorar diversas funcionalidades do aplicativo usando esta técnica de ataque, mas que não seria possível descrever todas as formas de exploração, devido às inúmeras opções que o atacante pode usar para controlar os valores do sistema.
Usando esta técnica de ataque, é possível manipular as configurações, alterando as funções do aplicativo, tais como chamadas para o banco de dados, bloqueando o acesso a bibliotecas externas e / ou modificação de arquivos de log.
Exemplos
Exemplo 1 ~
Um atacante precisa identificar as variáveis​sem validação de entrada ou aqueles indevidamente encapsulado para obter sucesso no ataque.
O exemplo que se segue baseou-se aqueles encontrados na definição de dicionário Pessoa CWE (Definição Manipulação-15).
Considere o seguinte trecho de código Java:
 …
 conn.setCatalog(request.getParameter(“catalog”));
 ...
Este fragmento lê a string "catálogo" de "HttpServletRequest" e define-o como o catálogo de ativos para uma conexão de dados. Um invasor pode manipular essa informação e causar um erro de conexão ou acesso não autorizado a outros catálogos.
Exemplo 2 - Bloquear o acesso a bibliotecas
O atacante tem os privilégios para bloquear o acesso ao aplicativo para bibliotecas externas para executar este ataque. É necessário descobrir o que as bibliotecas externas são acessadas pelo aplicativo e bloqueá-las. O atacante precisa observar se o comportamento do sistema entra em um estado inseguro / inconsistente.
Neste caso, o aplicativo usa uma biblioteca de criptografia gerando um terceiro número aleatório para gerar IDs de sessão do usuário. Um atacante pode bloquear o acesso a esta biblioteca por renomeá-la. Em seguida, o aplicativo usará a biblioteca de geração de números pseudo-aleatório fraco. O atacante pode usar essa fraqueza para prever o ID de usuário Session, ele / ela tenta executar elevação de escalonamento de privilégios e ganha acesso à conta do usuário.
Para mais detalhes sobre este ataque, veja: http://capec.mitre.org/data/definitions/96.html