CAPEC-226

Name

Session Credential Falsification through Manipulation

Typischer Schweregrad

Mittel

Status

Draft

Veröffentlicht

2014-06-23
00h00 +00:00

Geändert

2022-02-22
00h00 +00:00

Offizielle Links

CAPEC Mitre.org

Benachrichtigung für ein CAPEC

Bleiben Sie über alle Änderungen zu einem bestimmten CAPEC informiert.

Benachrichtigungen verwalten

Benutzerdefinierte Benachrichtigungen

Aktivieren Sie Ihre personalisierten Benachrichtigungen!

Um Ihre Benachrichtigungen zu aktivieren, müssen Sie lediglich in Ihrem kostenlosen Konto angemeldet sein. Falls Sie noch nicht angemeldet sind, wählen Sie eine der folgenden Optionen.

In Ihr Konto einloggen Kostenloses Konto erstellen

Benachrichtigung für ein CAPEC

Bleiben Sie über alle Änderungen zu einem bestimmten CAPEC informiert.

Parameter

Sie können einen Titel angeben, der in den gesendeten Benachrichtigungen erscheint.

Geben Sie die CAPEC-ID an, die Sie überwachen möchten.

Planung

Monat

Berechnung des nächsten Ausführungstermins

Tag

Wochentag

Stunde

Minute

Erstellungsdatum

Letzte Ausführung

Nächste Ausführung

CAPEC-Beschreibungen

An attacker manipulates an existing credential in order to gain access to a target application. Session credentials allow users to identify themselves to a service after an initial authentication without needing to resend the authentication information (usually a username and password) with every message. An attacker may be able to manipulate a credential sniffed from an existing connection in order to gain access to a target server.

CAPEC-Informationen

Voraussetzungen

The targeted application must use session credentials to identify legitimate users.

Erforderliche Ressourcen

An attacker will need tools to sniff existing credentials (possibly their own) in order to retrieve a base credential for modification. They will need to understand how the components of the credential affect server behavior and how to manipulate this behavior by changing the credential. Finally, they will need tools to allow them to craft and transmit a modified credential.

Einreichung

Name	Organisation	Datum	Veröffentlichungsdatum
CAPEC Content Team	The MITRE Corporation	2014-06-23 +00:00

Änderungen

Name	Organisation	Datum	Kommentar
CAPEC Content Team	The MITRE Corporation	2019-04-04 +00:00	Updated Related_Weaknesses
CAPEC Content Team	The MITRE Corporation	2022-02-22 +00:00	Updated Description, Extended_Description

CWE-ID	Name der Schwachstelle
CWE-565	Reliance on Cookies without Validation and Integrity Checking The product relies on the existence or values of cookies when performing security-critical operations, but it does not properly ensure that the setting is valid for the associated user.
CWE-472	External Control of Assumed-Immutable Web Parameter The web application does not sufficiently verify inputs that are assumed to be immutable but are actually externally controllable, such as hidden form fields.

CAPEC-226 Details