背景介绍
http://www.wooyun.org/bugs/wooyun-2010-015248
请认真阅读以上背景资料 否则本文只会给你带来困惑
本文由xkongbai撰写 谢绝转载
用词很多不准确 我对网页这一块也是才开始打酱油 如果有疏漏 欢迎指出
以下是正文
示例和原理
示例网址:
hxxp://finance.huagu.com/rdsm/1211/135648.html
查看上述示例网址的源代码 很容易发现
这个代码是诱发登录窗口页面的元凶
这个代码可以看出
1. 这个图片显示为1X1 即 实际上的不可见
一般只有用于统计的图片这样设置 而这个作为分割线的图片这样显示 显然是非常可疑的
2.获取这个图片需要登录 即弹出的那个登录框
类似于很多论坛 游客是没有下载权限的
点击下载附件 会接到提示 要求你登录 原理是一样的
只要你试图访问
hxxp://cms2.huagu.com/
然后 不管登录成功与否 特意构造的服务器都会记录你的登录ID和key 这样 钓鱼者就能成功获取到了所需
这就是那个所谓基础认证钓鱼的攻击原理
构造攻击方式:
设置一个服务器A
设置整个服务器或者部分内容要求权限 登录 并设置记录所有登录ID和密码无论是否验证通过
服务器提示加入诱导性内容。诸如(登录超时,请重新登录 等等)
在服务器B的网页添加属于服务器A的元素。
比如回帖时插入图片,个性签名时的图片,此类方法权限要求低,无需直接对服务器B发起攻击提权。
(服务器A和B可以是相同域名,只要你能把服务器B给黑了)
【常见的可以使用插入图片等,实际上,任何元素,不局限于图片,只要是对服务器A的权限内容发出请求,都会有验证弹窗】
坐等上钩,定期查看服务器A的日志即可获取受害者的ID和key
攻击防御办法:
这个所谓基础认证钓鱼,就技术上而言毫无亮点,唯一的思路亮点是思路猥琐。。。
将来应该可以从浏览器层面实现 对访问域名的跨站登录弹窗 过滤【我猜的】
即在访问服务器B时 服务器A的弹窗是默认不被弹出的[此防御方法在当服务器A\B是同一域名时,失效]
只要知道了正常访问是不会有这种界面丑陋的登录弹窗 不去输入ID和key
这种钓鱼就毫无价值了
而且 一般的 弹窗 上的服务器域名与访问的主域名 不一致 也应察觉到可疑
不过 对于中老年人和小白而言
嗯嗯 没啥好说的 听天由命吧。。。
没有评论:
发表评论