三、Url跳轉漏洞助釣魚“一臂之力”
1、什么是Url跳轉漏洞
此漏洞讓用戶訪問惡意網站而不自知。因為Web應用程序接收到用戶提交的URL參數后,沒有對參數做“可信任URL”的驗證,就向用戶瀏覽器返回跳轉到該URL的指令。
2、實例
一般來說這樣URL大部分網民一眼看估計是google的網站URL,可能都會點擊去看看。這樣就更好幫助釣魚攻擊泛濫。
3、如何防御
綜上所述基本都是危險漫步對郵件釣魚攻擊個人見解,如果有不到位的地方可以一起討論。這里危險漫步告訴大家以下幾種防范方法。
個人用戶的建議:
(1)提高警惕,不登錄不熟悉的網站,鍵入網站地址的時候要校對,以防輸入錯誤誤人狼窩,細心就可以發現一些破綻。
(2)不要打開陌生人的電子郵件,更不要輕信他人說教,特別是即時通訊工具上的傳來的消息,很有可能是病毒發出的。
(3)安裝殺毒軟件并及時升級病毒知識庫和操作系統補丁。
(4)將敏感信息輸入隱私保護,打開個人防火墻。
(5)收到不明電子郵件時不要點擊其中的任何鏈接。登錄銀行網站前,要留意瀏覽器地址欄,如果發現網頁地址不能修改,最小化IE窗口后仍可看到浮在桌面上的網頁地址等現象,請立即關閉IE窗口,以免賬號密碼被盜。
企業用戶的建議:
(1)安裝殺毒軟件和防火墻。
(2)加強電腦安全管理,及時更新殺毒軟件,升級操作系統補丁。
(3)加強員工安全意識,及時培訓網絡安全知識。
(4) 一旦發現有害網絡,要及時在防火墻中屏蔽它。
(5)為避免被“冒名”,可以加大制作網站的難度。具體辦法包括:不使用彈出式廣告、不隱藏地址欄、不使用框架等。這種防范是必不可少的,因為一旦網站名稱被“網絡釣魚”者利用的話,企業也會被卷進去,所以應該在泛濫前做好準備。
四、跨站技術滋生的釣魚攻擊
1、什么是跨站漏洞攻擊
業界對跨站攻擊的定義如下:“跨站攻擊是指入侵者在遠程WEB頁面的HTML代碼中,插入具有惡意目的的數據,用戶認為該頁面是可信賴的,但是當瀏覽器下載該頁面,嵌入其中的惡意腳本就會執行。”由于HTML語言允許使用腳本進行簡單交互,入侵者便通過技術手段在某個頁面里插入一個惡意HTML代碼,例如,論壇保存的用戶信息(Cookie),由于Cookie保存了完整的用戶名和密碼資料,用戶就會遭受安全損失。如這句簡單的Javascript腳本就能輕易獲取用戶信息:aler(document.cookie),它會彈出一個包含用戶信息的消息框。入侵者運用腳本就能把用戶信息發送到他們自己的記錄頁面中,稍做分析便獲取了用戶的敏感信息。
2、跨站攻擊是如何滋生釣魚攻擊的
相信大家肯定見過跨站也就是xss,有些朋友可能會不以為意,其實他危害還是相當大的。一般來說,還經常伴隨著頁面變形的情況。而所謂跨站腳本執行漏洞,也就是通過別人的網站達到攻擊的效果,這種攻擊能在一定程度上隱藏身份。雖然XSS漏洞攻擊方法很多,但是我們今天主題是釣魚攻擊。
這是一個登陸表單,這里沒有SQL注入,現在我們就可以利用當前發現的XSS漏洞開工了。我們需要的信息:
- 登陸表單”userslogin”
- 用戶名文本域”userslogin.user”
- 密碼文本域”useslogin.pass”
如果頁面中包含登陸表單與搜索引擎,可以通過劫持提交的數據,使其發送到我們控制的遠程主機上建立的網頁,而非“somepage.php”。我們可以將惡意構造的URL鏈接發送給別人,讓他們登陸,
現在我們已經知道接下來該怎么做了,代碼我就不貼出來了,有需要的朋友可以找我要。
下面這段代碼可以將登陸認證提交給在頁面主體內容中創建的隱藏的iframe,并加載其它惡意PHP腳本,以獲得用戶名與密碼并保存它們。老規矩要代碼可以來找我。
這些代碼很容易理解:獲取登陸用戶名與密碼,并寫入一個文件中。給合這兩個惡意腳本,攻擊者就可以利用這“小小”(管理員經常這樣認為)的漏洞,獲得重要的認證信息,使通過WEB程序驗證成為可能,當然,這只是舉個例子!
一般情況下直接進行類似alert(document.cookie)之類的攻擊沒有什么問題,但是有時CGI程序對用戶的輸入進行了一些處理,這時我們就需要使用一些小技巧來繞過這些限制。如果你對HTML語言比較熟悉的話,繞過這些限制應該不成問題。 (xss部分代碼來源于網絡版權歸原作者所有)
3.如何防御跨站攻擊
要避免受到跨站腳本執行漏洞的攻擊,需要程序員和用戶兩方面共同努力:
程序員:
(1)過濾或轉換用戶提交數據中的HTML代碼。
(2)限制用戶提交數據的長度。
用戶:
(1)不要輕易訪問別人給你的鏈接。
(2)禁止瀏覽器運行JavaScript和ActiveX代碼。
附:常見瀏覽器修改設置的位置為
Intemet Explorer:
工具-Internet選項-安全-Internet-自定義級別
工具-Internet選項一安全-Intranet-自定義級別
Opera:
文件——快速參數一允許使用Java
文件——快速速參數一允許使用插件
文件——快速速參數-允許使用JavaScript
五、軟件釣魚
軟件釣魚這種釣魚方法沒有前兩種犀利,個人感覺有點雞肋(守株待兔的感覺)。就是制造好一個軟件然后發布在網絡上,等待別人下載觸發里面事件盜取了你的賬號。
防范方法:
文章寫到這里就要結束了,危險漫步還是要提醒一下軟件釣魚攻擊,一般只存在于想對某游戲或者某應用程序進行投機取巧的操作,所以危險漫步建議,盡量少用外掛和來源模糊誘惑力高的軟件,天下沒有免費的午餐。有需要輸入個人信息的(比如游戲的賬號密碼,手機號碼等)更需要慎重。
