iT邦幫忙

2022 iThome 鐵人賽
DAY 10
0
Security

建構安全軟體開發系列 第 10

建構安全軟體開發 EP 10

14th鐵人賽
1731 瀏覽

  • 分享至 

  • xImage
    •  

Hello, 各位 iT 邦幫忙 的粉絲們大家好~~~

本篇是 建構安全軟體開發 系列文的 EP10。

安全開發的重要參考規範 Part4

攻擊手法揭露

CAPEC™ - Common Attack Pattern Enumerations and Classifications

從事專業資安相關技術的人員,就應該會比較常聽過 "CAPCE™ (Common Attack Pattern Enumerations and Classifications)" 這個組織。

但其實 CVE-CWE-CAPEC 是三位一體的概念:
Get Ahead of Boom

可到下列網址直接觀看目前 CAPEC 所列出的攻擊模式的列表:
https://capec.mitre.org/data/index.html

目前最新的列表版本為 Version 3.7:
CAPEC List

在這份 CAPEC List 當中,最基本的就是 "Navigate CAPEC" 這個部分,接著就透過這個 "Navigate CAPEC" 來看 CAPEC 所列出的 Attack Pattern 的概念關係。

Navigate CAPEC

在 ""Navigate CAPEC"" 中透過點選 "View by Domains of Attack" 來進到 CAPEC VIEW: Domains of Attack (View ID: 3000),來了解一下 CAPEC 的資料要怎麼看。
CAPEC VIEW: Domains of Attack

在此 CAPEC View 當中就分成了 6 大分類領域的攻擊,在網頁的右邊有個 Show Detail 的勾選可以顯示每個分類的說明。

CAPEC VIEW: Domains of Attack: Show Details

接著往比較熟悉的分類領域 Software 看去。
CAPEC Category: Software

在這個 Software 的分類領域中,透過一個表格列出在其 Membership 中的各個 HasMember 的攻擊方式分類 (Category)。

注意這裡只是分類 (Category) 攻擊方式,所以表格當中的每一條仍是一種比較抽象的定義,在該表格中有個 Type 欄位有告知其定義為 "Meta",其解釋可見下圖:
CAPEC Type: Meta Attack Pattern

接著繼續來點選其中的 "CAPEC-22: Exploiting Trust in Client (Attack Pattern ID: 22)":
CAPEC-22: Exploiting Trust in Client

而在這個 "CAPEC-22: Exploiting Trust in Client (Attack Pattern ID: 22)" 當中,就會再告知有哪些 RelationShips 關係的 Standard Attack Pattern,而此 "CAPEC-22" 有 4 條有關的 "Standard Attack Pattern"。

"Standard Attack Pattern" 的定義解釋可見下圖:
CAPEC Type: Standard Attack Pattern

在這邊繼續點選其中 ID 為 39 的 Standard Attack Pattern: "Manipulating Opaque Client-based Data Tokens"。
CAPEC-39: Manipulating Opaque Client-based Data Tokens

就會看到此 "CAPEC-39: Manipulating Opaque Client-based Data Tokens" 裡面,就會再告知有哪些 RelationShips 關係的 Meta Attack Pattern 跟 Detailed Attack Pattern,而此 "CAPEC-39" 有 1 條有關的 Meta Attack Pattern 跟 1 條 "Detailed Attack Pattern"。

"Detailed Attack Pattern" 的定義解釋可見下圖:
CAPEC Type: Detailed Attack Pattern

這邊要知道任一條 Detailed Attack Pattern 也可能會被其他的 "Standard Attack Pattern" 含括。所以會看到像是這條 "CAPEC-31: Accessing/Intercepting/Modifying HTTP Cookies",就有被 ID:39 與 ID:157 這兩條 "Standard Attack Pattern" 含括。
CAPEC-31: Accessing/Intercepting/Modifying HTTP Cookies

External Mappings

如果想把 CAPEC 的 Attack Pattern 跟其他單位(如: OWASP...等)所列的 Attack Pattern 作對照比較,可以從這邊著手。

CAPEC List: External Mappings

Helpful Views

如果想一次看某個 "Type" 的 Attack Pattern,可從此著手,例如想看所有被 CAPEC 列出的 "Standard Attack Pattern" 可直接點選 "View by Standard Abstractions"。
CAPEC List: Helpful Views

就會進入 "Standard Attack Pattern" 的列表當中。
CAPEC View: Standard Attack Pattern List

CAPEC List: Explore & Experiment

了解這份 CAPEC List 的觀看方式後,可以了解到當透過某一條 "Standard Attack Pattern",就可以了解其該攻擊手法如何被揭露 (Explore) 與試驗 (Experiment)。

CAPEC View: Standard Attack Pattern List

進而透過這些概念的預防,可以降低被其攻擊手法攻擊的風險。

CAPEC 回看 CWE

在任何一種 Type 的 CAPEC 所定義的 Attack Pattern 當中,在該頁面的最後都會列出 CWE 所列出的有關 Weaknesses,所以可以再回看到 CWE 的對照的。

CAPEC to CWE


上一篇
建構安全軟體開發 EP 09
下一篇
建構安全軟體開發 EP 11
系列文
建構安全軟體開發30
  1. 26
    建構安全軟體開發 EP 26
  2. 27
    建構安全軟體開發 EP 27
  3. 28
    建構安全軟體開發 EP 28
  4. 29
    建構安全軟體開發 EP 29
  5. 30
    建構安全軟體開發 EP 30
完整目錄
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22205
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙