摘要:雖然這篇文章的標(biāo)題是一起來(lái)寫(xiě)個(gè)釣魚(yú)的站點(diǎn)但是希望僅僅把它當(dāng)作飯后的談資就好切不可在實(shí)際生活中真正的使用。而這里我們利用種認(rèn)證的方式來(lái)釣魚(yú)。
雖然這篇文章的標(biāo)題是一起來(lái)寫(xiě)個(gè)釣魚(yú)的站點(diǎn),但是希望僅僅把它當(dāng)作飯后的談資就好,切不可在實(shí)際生活中真正的使用。不然,網(wǎng)絡(luò)警察到你家查你水表的時(shí)候,我可不負(fù)責(zé)任啊。而實(shí)際上要真心做到對(duì)應(yīng)的效果很難,只是作為安全知識(shí)的入門(mén)學(xué)習(xí)。
閑話少說(shuō),還是直接進(jìn)入主題吧。這里是需要實(shí)現(xiàn)的一些工具的清單:
PHP 5.x及以上版本
1個(gè)現(xiàn)代的瀏覽器,不要拿IE6這樣老古董的瀏覽器出來(lái),會(huì)死人的
Apache還是Nginx隨意,能用就好
一款文本編輯器,比如記事本
工具都準(zhǔn)備妥當(dāng)了,那么就直奔主題了哦。老司機(jī)要開(kāi)車了,要坐好扶穩(wěn)了。
在Web中釣魚(yú)的方式有很多方式,不過(guò)這個(gè)名字還是源自生活,此時(shí)聯(lián)想到在長(zhǎng)江邊垂釣的場(chǎng)景,滾滾長(zhǎng)江東逝水...。
萬(wàn)事俱備只欠東風(fēng),工具都準(zhǔn)備好了,現(xiàn)在還缺的就是魚(yú)了。魚(yú)從哪里來(lái),自然就是從受害者身上謀取啦。而這里我們利用1種401認(rèn)證的方式來(lái)釣魚(yú)。
首先,我們新建1個(gè)index.php的腳本,其內(nèi)容類似如下:
<span class="undefined">首頁(yè)</span>
首頁(yè)
內(nèi)容簡(jiǎn)單的很,實(shí)際上真正有用的就是這么一行:
我們使用腳本的方式異步請(qǐng)求php的1個(gè)腳本。搞技術(shù)的要求能舉一反三,我見(jiàn)過(guò)一些信息安全人員,除了會(huì)寫(xiě)POC外和使用一些工具外,對(duì)應(yīng)的原理是一竅不懂的。甚至為什么可以這樣做是一問(wèn)三不知的。
很多人以為黑客是群很聰明的人,實(shí)際不然,不排除這里面有一些所謂的腳本小子,整天復(fù)制搞破壞的。
閑外話還是少說(shuō),如果你覺(jué)得上面的script標(biāo)簽有點(diǎn)礙眼,你完全可以換,比如換成link、img等標(biāo)簽完全都是可以的。這就是舉一反三的能力吧,畢竟真實(shí)場(chǎng)景中很少有剛好就那么巧可以被利用的。
而test.php中的內(nèi)容類似如下:
我們判斷當(dāng)前服務(wù)器中是否存在鍵名HTTP_AUTHORIZATION,如果不存在則直接拋出1個(gè)401的認(rèn)證請(qǐng)求頭。而瀏覽器獲取到該401狀態(tài)后,會(huì)自動(dòng)彈出1個(gè)對(duì)話框要求使用者輸入用戶名和密碼。
如果使用者按照我們劇情的安排輸入了用戶名和密碼,那么我們就成功釣到了1條(人)魚(yú)。
需要注意的是,這里我們使用的是Basci認(rèn)證,而不是HTTP中另1個(gè)Digest的認(rèn)證。不然到時(shí)傳遞過(guò)來(lái)的是MD5的結(jié)果,還需要花費(fèi)時(shí)間解密,得不償失。
眼尖的你可能發(fā)現(xiàn),我們使用的是Base64解碼函數(shù)base64_decode。沒(méi)錯(cuò),Basic認(rèn)證的用戶名和密碼會(huì)使用Base64進(jìn)行編碼,直接獲取到其內(nèi)容進(jìn)行解碼即可,是不是很簡(jiǎn)單。
在這里,我們將其存入到session中,以便可以在前端顯示,這樣就可以看到效果了。而更多情況下,是直接存儲(chǔ)到文件或數(shù)據(jù)庫(kù)中,接著搞不好就拿著這些賬號(hào)去登錄你的銀行卡。
為了看出效果,我們?cè)?b>index.php中添加如下幾行代碼:
演示過(guò)程
下面是演示的效果過(guò)程,首先是訪問(wèn)首頁(yè):
然后入套,輸入自己的用戶名和密碼:
魚(yú)上鉤了,被釣了起來(lái):
結(jié)語(yǔ)
看到,你可能會(huì)罵娘了。這么簡(jiǎn)單的東西,搞得這么神秘兮兮。
實(shí)際上,原理的東西總是很簡(jiǎn)單的,重要是組合利用。如果讓自己隱匿的更深一些,還有更具誘惑性才能讓獵物上鉤。而釣魚(yú)的過(guò)程不就是利用如下幾個(gè)切入點(diǎn):
誘餌味道做的很不錯(cuò)
魚(yú)鉤藏匿在誘餌里面
魚(yú)肚子餓了
魚(yú)發(fā)現(xiàn)誘餌味道很不錯(cuò),就咬了一口
結(jié)果魚(yú)就上鉤了。而人之所以會(huì)被釣的過(guò)程主要還是如下幾個(gè)情況:
用戶安全意識(shí)薄弱,過(guò)于盲目相信瀏覽器
瀏覽器廠商相關(guān)安全沒(méi)有做好,致使用戶受害
腳本小子頁(yè)面做的很不錯(cuò),真假難辨
當(dāng)然不排除還有其他一些情況,實(shí)在想不出來(lái)了,腦洞太小。
當(dāng)然上面這么丑陋的網(wǎng)站,百分百是釣不到魚(yú)的。
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.specialneedsforspecialkids.com/yun/31806.html
摘要:僅在美國(guó),證書(shū)的數(shù)量就高達(dá)張。排名第二的德國(guó)只有張證書(shū)。到年,證書(shū)市場(chǎng)預(yù)計(jì)將達(dá)到億美元根據(jù)的一份報(bào)告,全球證書(shū)授權(quán)市場(chǎng)將以的復(fù)合年增長(zhǎng)率從年的萬(wàn)美元增長(zhǎng)到億美元??紤]到這項(xiàng)調(diào)查已過(guò)去了年,現(xiàn)今的數(shù)據(jù)預(yù)計(jì)達(dá)到了。 1. 已有1.57億張SSL證書(shū)應(yīng)用于互聯(lián)網(wǎng) 根據(jù)BuiltWith的數(shù)據(jù),截至2021年2月18日,檢測(cè)到在互聯(lián)網(wǎng)上已有超過(guò)157,605,195億張SSL證書(shū),這幾乎...
摘要:僅在美國(guó),證書(shū)的數(shù)量就高達(dá)張。排名第二的德國(guó)只有張證書(shū)。到年,證書(shū)市場(chǎng)預(yù)計(jì)將達(dá)到億美元根據(jù)的一份報(bào)告,全球證書(shū)授權(quán)市場(chǎng)將以的復(fù)合年增長(zhǎng)率從年的萬(wàn)美元增長(zhǎng)到億美元??紤]到這項(xiàng)調(diào)查已過(guò)去了年,現(xiàn)今的數(shù)據(jù)預(yù)計(jì)達(dá)到了。 1. 已有1.57億張SSL證書(shū)應(yīng)用于互聯(lián)網(wǎng) 根據(jù)BuiltWith的數(shù)據(jù),截至2021年2月18日,檢測(cè)到在互聯(lián)網(wǎng)上已有超過(guò)157,605,195億張SSL證書(shū),這幾乎...
摘要:而未來(lái)的互聯(lián)網(wǎng)網(wǎng)絡(luò)鏈路日趨復(fù)雜,加重了安全事件發(fā)生。蘋(píng)果強(qiáng)制開(kāi)啟標(biāo)準(zhǔn)蘋(píng)果宣布年月日起,所有提交到的必須強(qiáng)制開(kāi)啟安全標(biāo)準(zhǔn),所有連接必須使用加密。最后是安全意識(shí)。 互聯(lián)網(wǎng)發(fā)展20多年,大家都習(xí)慣了在瀏覽器地址里輸入HTTP格式的網(wǎng)址。但前兩年,HTTPS逐漸取代HTTP,成為傳輸協(xié)議界的新寵。?早在2014年,由網(wǎng)際網(wǎng)路安全研究組織Internet Security Research Gr...
摘要:此漏洞允許威脅行為者通過(guò)遠(yuǎn)程工作人員分發(fā)惡意文檔,但使其看起來(lái)像是直接從下載的。目前顯示,的跨站漏洞已經(jīng)修復(fù)。而以上釣魚(yú)攻擊利用的是中第二普遍的安全問(wèn)題,存在于近三分之二的應(yīng)用中。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidde...
閱讀 860·2019-08-30 15:54
閱讀 3326·2019-08-29 15:33
閱讀 2709·2019-08-29 13:48
閱讀 1236·2019-08-26 18:26
閱讀 3342·2019-08-26 13:55
閱讀 1499·2019-08-26 10:45
閱讀 1176·2019-08-26 10:19
閱讀 317·2019-08-26 10:16