首页
社区
课程
招聘
关于社交网络里的高级钓鱼攻击
发表于: 2015-5-7 16:53 2651

关于社交网络里的高级钓鱼攻击

2015-5-7 16:53
2651
新闻链接:http://netsecurity.51cto.com/art/201305/392471.htm
 新闻时间:2013-05-03
 新闻正文:
           
    前段时间一直在写工具党、大数据黑客相关的科普文,今天开始换点口味好了,来看看前端攻击里一些“惊悚”的攻击方式。

今天只说高级钓鱼

如果深刻知道这种钓鱼攻击的人,估计以后会谈鱼色变,这次我不科普太多文字,只简单说下这种在大众面前几乎一片空白的攻击方式,所以看完本篇文字,很多人还会继续得瑟:“反正我不会中招”,深入的讲解我一般都放在一些内部的安全培训上了,如果有时间计划整出一篇paper出来,一定很精彩。

大家想想,在社交网络里(weibo也算,具有社交属性的都算),我们对很多专属于这个社交网络的风格元素是不是习以为常了,比如漂亮的登录页面、设置页面、修改密码页面、弹出层、聊天框、发消息界面等等,天天见,天天用,对这样的风格习以为常了,哪天出现一个风格类似的新功能(比如提示“密码异常,修改密码”的弹出层),也不会怀疑,还以为是新增的友好功能……

这些对于JavaScript来说都是可以伪造的啊,而且可以超级YD的伪造,代码量也不用多少,为什么呢?这得感谢那些伟大的前端工程师,他们封装了很多超级方便的接口:)

只要一个XSS(跨站脚本攻击),就可以引入任意JavaScript代码,鬼魂一般,伪造了一个看起来真的假界面,钓到了想要的关键数据,目的就达到了。其实在真实的高级攻击里,如果能不钓就不钓,多了交互就多了攻击复杂度,一段JavaScript也许通过一些Hacking技巧就能拿到如明文密码、隐私资料等数据,只要一招。

在社交网络里,用户体验好作为第一要素,对于攻击者来说,攻击也会讲究用户体验好,哪怕没有XSS,也可以完成攻击,想想,如何伪装界面?只是利用XSS的攻击更加原汁原味(我常说的原生态攻击方式)。

原生态除了UI可以利用原生,还有相关的JS库接口,比如针对weibo.com的一个小玩笑,大家可以用Chrome浏览器登录自己的微博,然后按f12打开“开发者工具”,在Console中,复制上如下代码,回车执行:

STK.core.io.ajax({method:’POST’,url:’/aj/message/add’,args:{text:document.cookie.substr(0,300),screen_name:’%E4%BD%99%E5%BC%A6′}})

如此简洁的代码,攻击者要是利用起来该有多方便:D

钓鱼无非就是欺骗,在社交网络里利用XSS进行的高级钓鱼攻击真的让人防不胜防,这种攻击我很早就提出,我感觉已经在逐渐流行了,这就是为什么这两年经常有人提到的“美工黑客”,恩,黑客为了生存,开始更猥琐了,开始接触美工了,美工的目的就是视觉欺骗。

最后:多一分警惕,少一次泄密……

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
额,学习了,懂得了许多东西、
2015-5-13 22:14
0
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
谢谢楼主,长了很多见识
2015-5-22 20:29
0
游客
登录 | 注册 方可回帖
返回
//