CWE-451 关键信息的UI错误表达 类漏洞列表 72

CWE：CWE-451 关键信息在用户界面 (UI) 中的误表示 英文：用户界面 (UI) 未能向用户正确表示关键信息，导致该信息或其来源被掩盖或伪造。这通常是网络钓鱼攻击 (phishing attacks) 的一个组成部分。 如果攻击者能够导致用户界面 (UI) 显示错误数据，或以其他方式说服用户显示看似来自可信源的信息，那么攻击者就可以诱骗用户执行错误的操作。这通常是网络钓鱼攻击的一个组成部分，但也存在其他类型的问题。例如，如果用户界面 (UI) 用于监控系统或网络的安全状态，那么省略或掩盖重要指示器可能会阻止用户检测和响应安全关键事件。用户界面 (UI) 误表示可以采取多种形式： * **指示器错误 (Incorrect indicator)**：显示错误的信息，这阻止了用户理解产品或产品所监控环境的真实状态，特别是潜在的危险条件或操作。这可以细分为几种不同的子类型。 * **覆盖 (Overlay)**：显示器的某个区域旨在提供关键信息，但另一个进程可以通过在其上方叠加另一个元素来修改显示器。用户未与预期的用户界面 (UI) 部分进行交互。这是导致点击劫持 (clickjacking) 攻击的问题，尽管存在许多其他涉及覆盖的攻击类型。 * **图标操纵 (Icon manipulation)**：错误的图标或错误的颜色指示器可能受到操纵（例如，使危险的 .EXE 可执行文件看起来像无害的 .GIF）。 * **时序 (Timing)**：产品正在执行状态转换或上下文切换，并通过指示器呈现给用户，但竞争条件 (race condition) 可能导致在产品完全切换上下文之前使用了错误的指示器。如果攻击者能够触发错误，竞争窗口可能会无限期延长。 * **视觉截断 (Visual truncation)**：重要信息可能会被从显示器中截断，例如，由于恶意部分被截断，带有危险扩展名的长文件名未在图形用户界面 (GUI) 中显示。过多的空白使用也可能导致截断，或将潜在的危险指示器置于用户的视野之外（例如，“filename.txt .exe”）。当由于长度以外的原因移除部分信息时，也会发生另一种类型的截断，例如在输入中间意外插入输入结束标记，如 C 风格字符串中的 NUL 字节。 * **视觉区分 (Visual distinction)**：视觉信息可能以使得用户难以快速且正确地区分显示器的关键部分和非关键部分的方式呈现。 * **同形字 (Homographs)**：来自不同字符集、字体或语言的字母可能看起来非常相似（即视觉上等效），从而导致人类用户误读文本（例如，进行网络钓鱼攻击以诱骗用户访问恶意网站，以……）