An adversary searches a targeted web site for web pages that have not been publicized. In doing this, the adversary may be able to gain access to information that the targeted site did not intend to make public.
Description
Attack Execution Flow
4
1
Step 1
Explore[Find target web site] An adversary finds a target web site that they think may have unpublicized web pages
AI Translation
[Trova sito web di destinazione] Un avversario individua un sito web di destinazione che potrebbe contenere pagine web non pubblicizzate
2
Step 2
Explore[Map the published web site] The adversary will map the published web site either by using an automated tool or by manually accessing well-known debugging or logging pages, or otherwise predictable pages within the site tree
Use Dirbuster to brute force directories and file names to find unpublicized pages
Find a pattern in the naming of documents and extrapolate this pattern to discover additional documents that have been created but are no longer externally linked
AI Translation
[ Mappa il sito web pubblicato ] L'attore malevolo mapperà il sito web pubblicato utilizzando uno strumento automatizzato o accedendo manualmente a pagine di debug o di log note, o ad altre pagine prevedibili all’interno della struttura del sito
Utilizza Dirbuster per forzare directory e nomi di file al fine di trovare pagine non pubblicizzate
Trova un pattern nella denominazione dei documenti ed estrapola questo pattern per scoprire ulteriori documenti che sono stati creati ma non sono più collegati esternamente
Attack Techniques
-
Use Dirbuster to brute force directories and file names to find unpublicized pages
-
Find a pattern in the naming of documents and extrapolate this pattern to discover additional documents that have been created but are no longer externally linkedIT: Utilizza Dirbuster per eseguire attacchi di brute force su directory e nomi di file al fine di individuare pagine non pubblicizzate
3
Step 3
Experiment[Try to find weaknesses or information] The adversary will try to find weaknesses or information on the unpublicized pages that the targeted site did not intend to be public
Manually analyze files or pages for information that could be useful in a further attack
Use a static analysis tool to find weaknesses in unpublished web pages
AI Translation
[Provare a trovare vulnerabilità o informazioni] L'attore malevolo cercherà di individuare vulnerabilità o informazioni sulle pagine non pubblicizzate che il sito target non intendeva rendere pubbliche
Analizzare manualmente file o pagine alla ricerca di informazioni utili per un attacco successivo
Utilizzare uno strumento di analisi statica per individuare vulnerabilità nelle pagine web non pubblicate
Attack Techniques
-
Manually analyze files or pages for information that could be useful in a further attack
-
Use a static analysis tool to find weaknesses in unpublished web pagesIT: Analizzare manualmente file o pagine alla ricerca di informazioni che potrebbero essere utili in un attacco successivo
4
Step 4
Exploit[Follow-up attack] Use any information or weaknesses found to carry out a follow-up attack
AI Translation
[Attacco di follow-up] Utilizzare qualsiasi informazione o vulnerabilità riscontrata per effettuare un attacco successivo
Consequences
Consequence Information
{'impacts': [], 'impacts_translate': [], 'scopes': [], 'scopes_translate': []}
Relationships
Parent CAPECs
Resources Required
1
Spidering tools to explore the target web site are extremely useful in this attack especially when attacking large sites. Some tools might also be able to automatically construct common page locations from known paths.