This type of attack is a form of Cross-Site Scripting (XSS) where a malicious script is \'reflected\' off a vulnerable web application and then executed by a victim's browser. The process starts with an adversary delivering a malicious script to a victim and convincing the victim to send the script to the vulnerable web application.
Description
Attack Execution Flow
4
1
Step 1
Explore[Survey the application for user-controllable inputs] Using a browser or an automated tool, an adversary follows all public links and actions on a web site. They record all the links, the forms, the resources accessed and all other potential entry-points for the web application.
Use a spidering tool to follow and record all links and analyze the web pages to find entry points. Make special note of any links that include parameters in the URL.
Use a proxy tool to record all links visited during a manual traversal of the web application.
Use a browser to manually explore the website and analyze how it is constructed. Many browsers' plugins are available to facilitate the analysis or automate the discovery.
AI Translation
[Esamina l'applicazione alla ricerca di input controllabili dall'utente] Utilizzando un browser o uno strumento automatizzato, un adversary segue tutti i link pubblici e le azioni su un sito web. Registrano tutti i link, i moduli, le risorse accessate e tutti gli altri possibili punti di ingresso per l'applicazione web.
Utilizza uno strumento di spidering per seguire e registrare tutti i link e analizzare le pagine web per individuare i punti di ingresso. Prendi nota in particolare di eventuali link che includono parametri nell'URL.
Utilizza uno strumento proxy per registrare tutti i link visitati durante una navigazione manuale dell'applicazione web.
Utilizza un browser per esplorare manualmente il sito web e analizzare come è strutturato. Sono disponibili numerosi plugin per browser che facilitano l'analisi o automatizzano la scoperta.
Attack Techniques
-
Use a proxy tool to record all links visited during a manual traversal of the web application.
-
Use a browser to manually explore the website and analyze how it is constructed. Many browsers' plugins are available to facilitate the analysis or automate the discovery.IT: Utilizza uno strumento proxy per registrare tutti i link visitati durante una navigazione manuale dell'applicazione web.
-
Use a spidering tool to follow and record all links and analyze the web pages to find entry points. Make special note of any links that include parameters in the URL.IT: Utilizza uno strumento proxy per registrare tutti i link visitati durante una navigazione manuale dell'applicazione web.
2
Step 2
Experiment[Probe identified potential entry points for reflected XSS vulnerability] The adversary uses the entry points gathered in the 'Explore' phase as a target list and injects various common script payloads and special characters to determine if an entry point actually represents a vulnerability and to characterize the extent to which the vulnerability can be exploited.
Use a list of XSS probe strings to inject script in parameters of known URLs. If possible, the probe strings contain a unique identifier.
Use a proxy tool to record results of manual input of XSS probes in known URLs.
Use a list of HTML special characters to inject into parameters of known URLs and check if they were properly encoded, replaced, or filtered out.
AI Translation
Sperimentazione
[Probe identificata potenziale vulnerabilità di XSS riflesso] L’avversario utilizza i punti di ingresso raccolti nella fase "Esplora" come lista di obiettivi e inietta vari payload di script comuni e caratteri speciali per determinare se un punto di ingresso rappresenta effettivamente una vulnerabilità e per caratterizzare l’estensione con cui la vulnerabilità può essere sfruttata.
Utilizzare una lista di stringhe di probe XSS per iniettare script nei parametri di URL noti. Se possibile, le stringhe di probe contengono un identificatore univoco.
Utilizzare uno strumento proxy per registrare i risultati dell’inserimento manuale di probe XSS in URL noti.
Utilizzare una lista di caratteri speciali HTML da iniettare nei parametri di URL noti e verificare se sono stati correttamente codificati, sostituiti o filtrati.
Attack Techniques
-
Use a list of XSS probe strings to inject script in parameters of known URLs. If possible, the probe strings contain a unique identifier.
-
Use a list of HTML special characters to inject into parameters of known URLs and check if they were properly encoded, replaced, or filtered out.IT: Utilizza una lista di stringhe di probe XSS per iniettare script nei parametri di URL noti. Se possibile, le stringhe di probe contengono un identificatore univoco.
-
Use a proxy tool to record results of manual input of XSS probes in known URLs.IT: Utilizza una lista di stringhe di probe XSS per iniettare script nei parametri di URL noti. Se possibile, le stringhe di probe contengono un identificatore univoco.
3
Step 3
Experiment[Craft malicious XSS URL] Once the adversary has determined which parameters are vulnerable to XSS, they will craft a malicious URL containing the XSS exploit. The adversary can have many goals, from stealing session IDs, cookies, credentials, and page content from the victim.
Change a URL parameter to include a malicious script tag.
Send information gathered from the malicious script to a remote endpoint.
AI Translation
[Creare URL XSS dannoso] Una volta che l’attaccante ha determinato quali parametri sono vulnerabili a XSS, creerà un URL dannoso contenente l’exploit XSS. L’attaccante può avere molteplici obiettivi, come rubare session ID, cookie, credenziali e contenuto della pagina dalla vittima.
Modificare un parametro URL per includere un tag script dannoso.
Inviare le informazioni raccolte dallo script dannoso a un endpoint remoto.
Attack Techniques
-
Send information gathered from the malicious script to a remote endpoint.
-
Change a URL parameter to include a malicious script tag.IT: Invia le informazioni raccolte dallo script dannoso a un endpoint remoto.
4
Step 4
Exploit[Get victim to click URL] In order for the attack to be successful, the victim needs to access the malicious URL.
Send a phishing email to the victim containing the malicious URL. This can be hidden in a hyperlink as to not show the full URL, which might draw suspicion.
Put the malicious URL on a public forum, where many victims might accidentally click the link.
AI Translation
[Indurre la vittima a cliccare sull'URL] Perché l'attacco abbia successo, la vittima deve accedere all'URL dannoso.
Invia un'email di phishing alla vittima contenente l'URL dannoso. Questo può essere nascosto in un collegamento ipertestuale per non mostrare l'URL completo, il che potrebbe suscitare sospetti.
Pubblica l'URL dannoso su un forum pubblico, dove molte vittime potrebbero cliccare accidentalmente sul link.
Attack Techniques
-
Put the malicious URL on a public forum, where many victims might accidentally click the link.
-
Send a phishing email to the victim containing the malicious URL. This can be hidden in a hyperlink as to not show the full URL, which might draw suspicion.IT: Pubblica l'URL dannoso su un forum pubblico, dove molte vittime potrebbero cliccare accidentalmente sul link.
Mitigations
3
Ensure That All User-Supplied Input Is Validated Before Use.
Use Browser Technologies That Do Not Allow Client-Side Scripting.
Utilize Strict Type, Character, And Encoding Enforcement.
Consequences
Security Scopes Affected
Access Control
Authorization
Availability
Confidentiality
Integrity
Potential Impacts
Execute Unauthorized Commands
Gain Privileges
Modify Data
Read Data
Relationships
Parent CAPECs
Child CAPECs
CAPEC-18
XSS Targeting Non-Script Elements
CAPEC-32
XSS Through HTTP Query Strings
CAPEC-86
XSS Through HTTP Headers
CAPEC-198
XSS Targeting Error Pages
CAPEC-199
XSS Using Alternate Syntax
CAPEC-243
XSS Targeting HTML Attributes
CAPEC-244
XSS Targeting URI Placeholders
CAPEC-245
XSS Using Doubled Characters
CAPEC-247
XSS Using Invalid Characters
Resources Required
1
None: No specialized resources are required to execute this type of attack.