釣魚的藝術:三行代碼實現標籤釣魚
這篇文章講的是攻擊者利用標籤釣魚來執行釣魚攻擊的技術。雖然這個技術很早就有了,但相關的文章卻很少,因此我想通過此文來講講標籤釣魚這個話題。
什麼是標籤釣魚?
標籤釣魚是基於web的客戶端攻擊。並不算是web應用的一個漏洞,而是一種釣魚技術。這種攻擊利用的是用於對於標籤頁的疏忽,當然也需要攻擊者精通JavaScript腳本語言來重寫一個標籤。
標籤釣魚展示:
以下是演示步驟:
1.攻擊者向受害者發送他的網站鏈接(通過郵件,聊天APP,IM或者是第三方網站重定向都行)。鏈接如下:
http://127.0.0.1:234/file.html
3.根據網頁上的提示,受害者點擊』Let us go』按鈕訪問社交網路頁面。
4.受害者看到地址欄的域名並且堅信這是一個真實可信的網站。
5.受害者在這個頁面上停留幾秒或者在相同的瀏覽器窗口下打開一個新標籤。
6.受害者返回到剛才的社交網路頁面。
7.受害者認為這是一個真實的網站並且輸入用戶憑證,但是卻沒有注意到域名已經從第4步變成了第5步中的域名了。
8.受害者點擊登錄按鈕,然後登錄憑證就發送到了攻擊者的伺服器,因為釣魚代碼已經寫入新的域名頁面中(data URI)。
攻擊是如何實施的?
3行js代碼足以:
var w;
//聲明一個新的變數
w=window.open(『http://thesocialnetwork』,』target』);
//變數賦值:執行的操作是在新標籤中打開一個網頁
w.location.replace(『data:text/html;,the duplicate html source code here』);
//新標籤中的網頁被包含釣魚代碼的data URI替換
在data URI中,我們故意添加了很多空格,這樣一來,受害者就看不到我們的代碼。
如何修復?
前面說過,這嚴格來說不算是一個漏洞,而是一種釣魚技術,因此當用戶輸入憑證時應該確認網站的真實性,而不是簡單的看看地址欄的url地址。
釣魚代碼在這裡。
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
TAG:嘶吼RoarTalk |