當前位置:
首頁 > 最新 > 如何製作認證釣魚頁面?

如何製作認證釣魚頁面?

Responde是一款強大並且簡單易用的內網滲透神器,使用它的「基本身份驗證」提示可以用來在Web瀏覽器中偶爾輸入無效域時竊取用戶憑據。

在之前的一篇文章中,我介紹了一款非常受歡迎的工具——Responder,它是一款強大並且簡單易用的內網滲透神器。使用它的「基本身份驗證」提示來在Web瀏覽器中偶爾輸入無效域時竊取用戶憑據。

應該說,Responder的方法是相當不錯的,它在捕獲和響應當前域的DNS請求時非常給力。但是經過一段時間的研究,我認為基本身份驗證的方法如果被用於網路釣魚,則攻擊效率更加突出。

我之所以最喜歡基本認證,就是因為從來沒有人知道誰在對你認證,認證在哪裡結束。這種認證的混亂通常會使用戶陷入簡單的網路釣魚攻擊,從而允許攻擊者輕鬆收集用戶登錄憑據。因為,一旦伺服器知道了用戶的身份,就可以判定用戶可以訪問事務和資源了;通常通過用戶名和密碼。

用戶應該能夠基於2個安全指標來確定基本身份驗證請求是否是真實的:

1.請求身份驗證的實體的IP地址或域,不過,這通常不能幫助用戶進行判別,因為攻擊者也可以註冊類似於可信域的域名。例如,當嘗試盜取targetdomain.com的憑據時,攻擊者可以註冊類似的域:

targetdomain.co/.net

target-domain.com

targetdomain-oauth.com

targetdomain-cdn.com

targetdomain-images.com

login-targetdomain.com

2. 」realm」認證參數,不過這是一個可以由攻擊者提供的任意字元串。根據上下文,簡單的字元串可能會欺騙用戶,讓用戶認為基本的身份驗證提示是真實的:

網路代理身份驗證要求;

長時間的沒有操作而退出登錄,如要再操作還需再次登錄。

說了這麼多理論,讓我舉幾個例子,其中基本的身份驗證提示可能真的讓用戶感到困惑。假設targetdomain.com是一個真正的網站,攻擊者可以簡單地註冊並控制target-domain.com,,一個可能會被一些用戶混淆的網站。

1.通過濫用HTML圖像標籤獲取基本身份驗證提示

如果攻擊者可以向網站添加HTML 圖像標籤,並引用攻擊者控制的域的圖像,則攻擊者可以在載入圖像之前強制執行基本驗證提示。以下有一個簡短的演示:

targetdomain.com/image.html是一個包含第三方網站圖片的網頁:target-domain.com。

Just a funny cat image

target-domain.com/basicauth.php是一個訪問後需要基本身份驗證的第三方頁面。

因此,由第三方網站上託管的圖像生成基本驗證提示。可以肯定的是,在基本認證提示中輸入的任何憑據將被發送到第三方網站。目前,基本身份驗證提示只存在於Firefox和IE上,而Chrome不會顯示。

2.打開URL時獲取基本身份驗證提示

如果攻擊者可以將HTML錨點添加到網站,並添加到第三方網站的鏈接,則攻擊者可以向第三方網站添加基本身份驗證,並在導航發生之前提示用戶。

targetdomain.com/link.html是一個包含指向第三方網站的鏈接的頁面:

A cool website you should visit: Click me!

因此,當主機頁面和URL仍然顯示給用戶時,基本身份驗證提示將顯示在載入新URL之前。基本認證提示只在Firefox和IE中顯示,而Chrome會在顯示之前卸載主機頁面並更新地址欄。

3.在新選項卡中打開URL時獲取基本身份驗證提示

如果導航發生在新選項卡中,則基本身份驗證提示可以通過利用window.opener來顯示在初始選項卡中。

targetdomain.com/newtab.html是一個包含將在新標籤頁中打開的鏈接的頁面:

Another cool website you should visit: Click me!

target-domain.com/landingpage.html是一個將使用者重定向到需要基本身份驗證網址的頁面:

Nothing here

因此,當主機頁面和URL仍顯示給用戶時,基本身份驗證提示將顯示在載入新URL的選項卡中。基本認證提示只在Firefox和IE中顯示,而Chrome在卸載主機頁面並更新地址欄之後,才會顯示基本認證提示。

4.獲取Word文檔中的基本身份驗證提示

如果文檔包含引用第三方網站的圖像模板,則基本身份驗證提示可能會出現在Word文檔中。這樣的文件可以通過電子郵件或公共網站向受害者提供,這對攻擊者來說非常方便。此外,使用Phishery可以自動創建這樣的WORD文檔的過程。

以上只是我碰到的一些實例,其中基本認證提示以令人困惑的方式顯示給最終用戶。這些例子都是在實際生活中隨處可見,比如博客,論壇,協作平台,電子學習平台都有允許用戶添加定製內容的選項,包括圖像和鏈接。任何帶有文本編輯器的網站,允許bb代碼(或類似的標記)很容易受到這樣的網路釣魚攻擊:

[img]http://target-domain.com/basicauth.php[/img]http://target-domain.com/basicauth.php[a]http://target-domain.com/basicauth.php[/a][url]http://target-domain.com/basicauth.php[/url]... and many more examples

防止此類攻擊的兩個方法如下:

1.不允許用戶到你的網站去添加圖像和鏈接;

2.可以過濾不需要的基本身份驗證提示,將所有外部資源與本地URL進行封裝(類似於Facebook的URL封裝)。

雖然第一個建議可能會超出許多網站的安全防護目的,但第二個建議可能很難在定製平台上實現和維護。

如果你想在這個問題上有更多了解,試著調查一下移動設備上發生的身份驗證行為。出於可用性的考慮,移動瀏覽器在安全性方面做了很多妥協,比如,允許更換地址欄中的URL的頁面標題,顯示SSL證書的細節,幾乎不會查看當前頁面的源碼等。


點擊展開全文

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 白帽子黑客 的精彩文章:

天才程序員之死,事件始末資料
txt 簡單木馬演示
AI才是網路安全的救世主?
利用OnionScan,自己動手製作暗網爬蟲
揭秘免費Cobian遠控工具

TAG:白帽子黑客 |