购物比价搜索

2012年12月2日

浅谈所谓 基础认证钓鱼


背景介绍
http://www.wooyun.org/bugs/wooyun-2010-015248

请认真阅读以上背景资料  否则本文只会给你带来困惑

本文由xkongbai撰写  谢绝转载

用词很多不准确  我对网页这一块也是才开始打酱油  如果有疏漏 欢迎指出

以下是正文

示例和原理

示例网址:

hxxp://finance.huagu.com/rdsm/1211/135648.html 

查看上述示例网址的源代码  很容易发现


这个代码是诱发登录窗口页面的元凶

这个代码可以看出

1. 这个图片显示为1X1  即 实际上的不可见
一般只有用于统计的图片这样设置  而这个作为分割线的图片这样显示  显然是非常可疑的

2.获取这个图片需要登录  即弹出的那个登录框

类似于很多论坛 游客是没有下载权限的
点击下载附件  会接到提示 要求你登录 原理是一样的

只要你试图访问
hxxp://cms2.huagu.com/
这个服务器  都需要登录
然后  不管登录成功与否  特意构造的服务器都会记录你的登录ID和key  这样 钓鱼者就能成功获取到了所需


这就是那个所谓基础认证钓鱼的攻击原理



构造攻击方式:

设置一个服务器A  
设置整个服务器或者部分内容要求权限 登录   并设置记录所有登录ID和密码无论是否验证通过 
服务器提示加入诱导性内容。诸如(登录超时,请重新登录 等等)


在服务器B的网页添加属于服务器A的元素。
比如回帖时插入图片,个性签名时的图片,此类方法权限要求低,无需直接对服务器B发起攻击提权。
(服务器A和B可以是相同域名,只要你能把服务器B给黑了)
【常见的可以使用插入图片等,实际上,任何元素,不局限于图片,只要是对服务器A的权限内容发出请求,都会有验证弹窗】

坐等上钩,定期查看服务器A的日志即可获取受害者的ID和key

攻击防御办法:

这个所谓基础认证钓鱼,就技术上而言毫无亮点,唯一的思路亮点是思路猥琐。。。

将来应该可以从浏览器层面实现 对访问域名的跨站登录弹窗 过滤【我猜的】
即在访问服务器B时 服务器A的弹窗是默认不被弹出的[此防御方法在当服务器A\B是同一域名时,失效]

只要知道了正常访问是不会有这种界面丑陋的登录弹窗  不去输入ID和key
这种钓鱼就毫无价值了
而且  一般的  弹窗 上的服务器域名与访问的主域名  不一致 也应察觉到可疑
不过 对于中老年人和小白而言
嗯嗯 没啥好说的   听天由命吧。。。 

没有评论:

发表评论