缺陷标题 crackme网站登录界面的表单隐藏域hUserType存在框架钓鱼风险。
测试平台与浏览器 Windows 10+Firefox 49.0.2。
测试步骤
(1)打开crackme网站http://crackme.cenzic.com/。
(2)单击Login,如图1-15所示。
图1-15 单击Login
(3)输入无效的登录信息,例如user ID为a,password为a。
(4)打开Firefox的Tamper Data工具,单击Start Tamper,单击Login,如图1-16所示。
图1-16 输入数据
(5)Tamper Data弹出Tamper with request对话框,不勾选Continue Tampering,单击Tamper按钮,如图1-17所示。
图1-17 Tamper设置与选择
(6)弹出Tamper Popup对话框,在hLoginType域中填写" iframe src=http://www.gzpyp.edu.c ,如图1-18所示。
(7)单击“确定”按钮。
期望结果 不存在框架钓鱼风险。
实际结果 存在框架钓鱼风险,结果如图1-19所示。
图1-18 输入钓鱼攻击代码段
图1-19 网站存在框架钓鱼风险
本例详细讲解如何利用Firefox中的Tamper Data工具篡改隐藏域表单中的数据进行钓鱼攻击。在实际的攻击测试中,每种输入都有可能被利用进行攻击,即使页面看不到的隐藏域也是如此。这要求开发者一定要做所有数据的输入有效性检验,否则就会使网站处于危险之中。
互联网活跃的钓鱼网站传播途径主要有以下8种。
(1)通过QQ、MSN、阿里旺旺等客户端聊天工具发送传播钓鱼网站链接。
(2)在搜索引擎、中小网站投放广告,吸引用户单击钓鱼网站链接,此种手段常被假医药网站、假机票网站使用。
(3)通过E-mail、论坛、博客、SNS网站批量发布钓鱼网站链接。
(4)通过微博、Twitter中的短链接散布钓鱼网站链接。
(5)通过仿冒邮件(例如冒充“银行密码重置邮件”)欺骗用户进入钓鱼网站。
(6)感染病毒后弹出模仿QQ、阿里旺旺等聊天窗口,用户单击后进入钓鱼网站。
(7)恶意导航网站、恶意下载网站弹出仿真悬浮窗口,用户单击后进入钓鱼网站。
(8)伪装成用户输入网址时易发生的错误,如gogle.com、sinz.com等,一旦用户写错,就误入钓鱼网站。
如果网站开发人员不懂得Web安全常识,那么许多网站都可能成为一个潜在的钓鱼网站(被钓鱼网站iframe注入利用)。