CAPEC-388

Nombre

Application API Button Hijacking

Gravedad típica

Medio

Estado

Draft

Publicado

2014-06-23
00h00 +00:00

Modificado

2022-09-29
00h00 +00:00

Enlaces oficiales

CAPEC Mitre.org

Alerta para un CAPEC

Manténgase informado sobre cualquier cambio en un CAPEC específico.

Gestionar notificaciones

Alertas personalizadas

¡Active sus alertas personalizadas!

Para activar sus alertas, solo necesita iniciar sesión en su cuenta gratuita. Si aún no ha iniciado sesión, elija una de las opciones a continuación.

Iniciar sesión en su cuenta Crear una cuenta gratuita

Alerta para un CAPEC

Manténgase informado sobre cualquier cambio en un CAPEC específico.

Parámetros

Puede especificar un título que se recuperará en las alertas que se enviarán.

Especifique el ID de CAPEC que desea monitorear.

Planificación

Mes

Cálculo de la próxima ejecución

Día

Día de la semana

Hora

Minuto

Fecha de creación

Última ejecución

Próxima ejecución

Descripciones CAPEC

An attacker manipulates either egress or ingress data from a client within an application framework in order to change the destination and/or content of buttons displayed to a user within API messages. Performing this attack allows the attacker to manipulate content in such a way as to produce messages or content that looks authentic but contains buttons that point to an attacker controlled destination.

Informaciones CAPEC

Prerrequisitos

Targeted software is utilizing application framework APIs

Recursos requeridos

A software program that allows the use of adversary-in-the-middle (CAPEC-94) communications between the client and server, such as a adversary-in-the-middle (CAPEC-94) proxy.

Debilidades relacionadas

CWE-ID	Nombre de la debilidad
CWE-471	Modification of Assumed-Immutable Data (MAID) The product does not properly protect an assumed-immutable element from being modified by an attacker.
CWE-345	Insufficient Verification of Data Authenticity The product does not sufficiently verify the origin or authenticity of data, in a way that causes it to accept invalid data.
CWE-346	Origin Validation Error The product does not properly verify that the source of data or communication is valid.
CWE-602	Client-Side Enforcement of Server-Side Security The product is composed of a server that relies on the client to implement a mechanism that is intended to protect the server.
CWE-311	Missing Encryption of Sensitive Data The product does not encrypt sensitive or critical information before storage or transmission.

Referencias

REF-327

So Many Ways [...]: Exploiting Facebook and YoVille
Tom Stracener, Sean Barnum.

Envío

Nombre	Organización	Fecha	Fecha de lanzamiento
CAPEC Content Team	The MITRE Corporation	2014-06-23 +00:00

Modificaciones

Nombre	Organización	Fecha	Comentario
CAPEC Content Team	The MITRE Corporation	2018-07-31 +00:00	Updated Description, Description Summary, Examples-Instances
CAPEC Content Team	The MITRE Corporation	2019-09-30 +00:00	Updated @Abstraction
CAPEC Content Team	The MITRE Corporation	2021-06-24 +00:00	Updated Resources_Required
CAPEC Content Team	The MITRE Corporation	2022-09-29 +00:00	Updated Example_Instances

Detalle CAPEC-388

CAPEC-388

Descripciones CAPEC

Informaciones CAPEC

Prerrequisitos

Recursos requeridos

Debilidades relacionadas

CWE-471

CWE-345

CWE-346

CWE-602

CWE-311

Referencias

REF-327

Envío

Modificaciones