欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

社工钓鱼技术新认知详谈怎样构造自己的入门认证社工钓鱼网页

来源:本站整理 作者:佚名 时间:2017-09-13 TAG: 我要投稿
targetdomain.com/newtab.html是targetdomain.com网站上的一个网页,该网页包括了一个将在新标签页中关上的链接:
html>
    body>
Another cool website you should visit: a href="http://target-domain.com/landingpage.html" target="_blank">Click me!a>
    body>
html>
target-domain.com/landingpage.html是第三方网站上的一个页面,该页面的目标是将用户重定向到必要根基身份认证的网址页面中去:
html>
    head>
        title>Nothing heretitle>
    head>
    body>
        script>
            window.opener.location="http://target-domain.com/basicauth.php";
        script>
    body>
html>
因此,一旦用户拜访了上述targetdomain.com/newtab.html页面,根基身份认证提醒将在浏览器关上新的tab页面时表现给用户。这类攻击入侵伎俩可以或许在Firefox和IE两款浏览器中见效,而Chrome浏览器的处置办法与前两款浏览器仍然分歧,它会起首封闭主机页面并更新地点栏,末了在表现根基认证提醒。

4. 经由过程Word文档表现根基身份认证提醒
更进一步地,假如Word文档中包括援用了第三方网站上的图象元素,那末根基身份认证提醒可以或许会出如今Word文档中。如许的Word文档可以或许经由过程电子邮件或公网向受害者供给,这对攻击入侵者来讲异常轻易。别的,应用Phishery可以或许主动创立如许的WORD文档,以下图所示。

 
总结
以上只是一些示例,实际网络中的根基认证提醒总因此一种使人迷惑的方法表现给终极用户,博客,服装论坛t.vhao.net,合作平台,电子进修平台都容许用户增加自定义内容,比方图象和链接等网页元素,任何容许应用bbcode文本编辑器的网站都可以或许轻易遭到这类网络社工钓鱼攻击入侵:

http://target-domain.com/basicauth.php
[a]http://target-domain.com/basicauth.php[/a]
http://target-domain.com/basicauth.php
... and many more examples
可以或许经由过程以下办法来避免这类网络社工钓鱼攻击入侵:
(1)不容许用户增加图象和链接到你的网站;
(2)应用当地URL来“包装”所有的内部资本,这类办法可以或许过滤不必要的根基身份认证提醒。
固然第一个倡议可以或许会违反很多网站的志愿,但第二个倡议可以或许难以在定制化的平台上实行和保护。
假如想进一步对此成绩停止深刻的研讨,咱们可以或许测验考试将研讨方向转移到挪动装备上的浏览器中。为了便于可用性,挪动装备上的浏览器每每在安全性方面会做出妥协,比方将地点栏中的URL调换为页面题目,不表现SSL证书详细信息,不检查以后页面的源代码等。
为何用户可以或许会将targetdomain.com与target-domain.com或诸如此类的网站域名弄混杂呢?这也许是另一篇博客文章应当值得停止评论辩论的话题,由于用户对google.com和google.es,facebook.com和* .fbcdn.net,twitter.com和t.co都有雷同的相信,因此很多用户是很轻易被网络攻击入侵者诱骗的。

上一页  [1] [2] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载