|
|
|
联系客服020-83701501

社交网络里的高级钓鱼攻击

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
应酬网络里的初级钓鱼进攻

劳动了个含混节,这段年华,收听的好些微信群众账号都愈来愈四周了啊,起因是:思维干扰……

我持续我的作风,我自己私家的群众账号是“懒人在思忖”,不外好久好久没发内容了,真是应对了个“懒”字。而在这个群众账号(web保险中心)发的内容必建都会定位在web保险这块。

前段年华不绝在写东西党、大数据黑客相干的科普文,即日末尾换点口味好了,来看看前端进攻里一些“惊悚”的进攻法子。

即日只说初级钓鱼

若是深刻晓得这种钓鱼进攻的人,估量之后谈判鱼色变,这次我不科普太多翰墨,只繁杂说下这种在民众当面险些一片空白的进攻法子,所以看完本篇翰墨,许多人还会持续得瑟:“反正我不会中招”,深刻的解说我通常都放在一些内部的保险培训上了,若是有年华设计整出一篇paper出来,一定很杰出。

大师想想,在应酬网络里(weibo也算,具有应酬属性的都算),我们对许多专属于这个应酬网络的作风元素是不是层见迭出了,比如漂明的登录页面、设置页面、修正密码页面、弹出层、谈天框、发静态界面等等,每天见,每天用,对多么的作风层见迭出了,哪天出现一个作风雷同的新遵从(比如揭示“密码十分,修正密码”的弹出层),也不会怀疑,还以为是新增的朋侪遵从……

这些对于JavaScript来说凡是也许伪造的啊,并且也许超级YD的伪造,代码量也不用几多,为什么呢?这得感谢感动那些巨大的前端工程师,他们封装了许多超级不便的接口:)

只需一个XSS(跨站剧本进攻),便也许引入利便JavaScript代码,鬼魂通常,伪造了一个看起来真的假界面,钓到了想要的症结数据,指标就达到了。其切实真正的初级进攻里,若是能不钓就不钓,多了交互就多了进攻冗杂度,一段JavaScript梗概通过一些Hacking本领就可以拿到如明文密码、隐私材料等数据,只需一招。

在应酬网络里,用户体验好作为第一成份,对于进攻者来说,进攻也会讲究用户体验好,哪怕没有XSS,也也许实现进攻,想想,如何假装界面?只是独霸XSS的进攻愈加原汁原味(我常说的原生态进攻法子)。

原生态除了UI也许独霸原生,另有相干的JS库接口,比如针对weibo.com的一个小打趣,大师也许用Chrome阅读器登录自己的微博,此后按f12掀开“斥地者东西”,在Console中,复制上以下代码,回车实验:

Default
1 STK.core.io.ajax({method:'POST',url:'/aj/message/add',args:{text:document.cookie.substr(0,300),screen_name:'%E4%BD%99%E5%BC%A6'}})

如斯繁缛的代码,进攻者若是独霸起来该有多不便:D

钓鱼不外即是棍骗,在应酬网络里独霸XSS进行的初级钓鱼进攻真的让人防不胜防,这种进攻我很早就提出,我感受已经在逐渐风行了,这即是为什么这两年常常有人提到的“美工黑客”,恩,黑客为了生存,末尾更猥琐了,末尾接触美工了,美工的指标即是视觉棍骗。

末端:多一分自创,少一次保密……

相干保举文章:《JavaScript管制href属性钓鱼阐发》《构和反射xss独霸》

作者余弦,微信:web保险中心(ID:wangzhan_anquan)。

link:http://blog.knownsec.com/2013/04/%E5%85%B3%E4%BA%8E%E7%A4%BE%E4%BA%A4%E7%BD%91%E7%BB%9C%E9%87%8C%E7%9A%84%E9%AB%98%E7%BA%A7%E9%92%93%E9%B1%BC%E6%94%BB%E5%87%BB/

本文由网络保险攻防研究室(www.91ri.org)动态保险小组征集整理,转载请说明来由。

数安新闻+更多

证书相关+更多