购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

1.8 实验#8:crackme网站有框架钓鱼风险

缺陷标题 crackme网站登录界面的表单隐藏域hUserType存在框架钓鱼风险。

测试平台与浏览器 Windows 10+Firefox 49.0.2。

测试步骤

(1)打开crackme网站http://crackme.cenzic.com/。

(2)单击Login,如图1-15所示。

图1-15 单击Login

(3)输入无效的登录信息,例如user ID为a,password为a。

(4)打开Firefox的Tamper Data工具,单击Start Tamper,单击Login,如图1-16所示。

图1-16 输入数据

(5)Tamper Data弹出Tamper with request对话框,不勾选Continue Tampering,单击Tamper按钮,如图1-17所示。

图1-17 Tamper设置与选择

(6)弹出Tamper Popup对话框,在hLoginType域中填写" iframe src=http://www.gzpyp.edu.c ,如图1-18所示。

(7)单击“确定”按钮。

期望结果 不存在框架钓鱼风险。

实际结果 存在框架钓鱼风险,结果如图1-19所示。

图1-18 输入钓鱼攻击代码段

图1-19 网站存在框架钓鱼风险

专家点评

本例详细讲解如何利用Firefox中的Tamper Data工具篡改隐藏域表单中的数据进行钓鱼攻击。在实际的攻击测试中,每种输入都有可能被利用进行攻击,即使页面看不到的隐藏域也是如此。这要求开发者一定要做所有数据的输入有效性检验,否则就会使网站处于危险之中。

互联网活跃的钓鱼网站传播途径主要有以下8种。

(1)通过QQ、MSN、阿里旺旺等客户端聊天工具发送传播钓鱼网站链接。

(2)在搜索引擎、中小网站投放广告,吸引用户单击钓鱼网站链接,此种手段常被假医药网站、假机票网站使用。

(3)通过E-mail、论坛、博客、SNS网站批量发布钓鱼网站链接。

(4)通过微博、Twitter中的短链接散布钓鱼网站链接。

(5)通过仿冒邮件(例如冒充“银行密码重置邮件”)欺骗用户进入钓鱼网站。

(6)感染病毒后弹出模仿QQ、阿里旺旺等聊天窗口,用户单击后进入钓鱼网站。

(7)恶意导航网站、恶意下载网站弹出仿真悬浮窗口,用户单击后进入钓鱼网站。

(8)伪装成用户输入网址时易发生的错误,如gogle.com、sinz.com等,一旦用户写错,就误入钓鱼网站。

如果网站开发人员不懂得Web安全常识,那么许多网站都可能成为一个潜在的钓鱼网站(被钓鱼网站iframe注入利用)。 FE1xomCoILH8Ai0sfV/eGoCXHj0NmxyXNtRm30wekJT4e/GToCWyCo5xevnZVPah

点击中间区域
呼出菜单
上一章
目录
下一章
×