日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
科普:流量劫持之浮層登錄框的隱患

傳統(tǒng)的登錄框

創(chuàng)新互聯(lián)專注于企業(yè)成都全網(wǎng)營(yíng)銷、網(wǎng)站重做改版、橋西網(wǎng)站定制設(shè)計(jì)、自適應(yīng)品牌網(wǎng)站建設(shè)、H5開(kāi)發(fā)成都做商城網(wǎng)站、集團(tuán)公司官網(wǎng)建設(shè)、外貿(mào)營(yíng)銷網(wǎng)站建設(shè)、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁(yè)設(shè)計(jì)等建站業(yè)務(wù),價(jià)格優(yōu)惠性價(jià)比高,為橋西等各大城市提供網(wǎng)站開(kāi)發(fā)制作服務(wù)。

在之前的文章流量劫持危害詳細(xì)講解了 HTTP 的高危性,以至于重要的操作都使用 HTTPS 協(xié)議,來(lái)保障流量在途中的安全。

 

 

這是最經(jīng)典的登錄模式。盡管主頁(yè)面并沒(méi)有開(kāi)啟 HTTPS,但登錄時(shí)會(huì)跳轉(zhuǎn)到一個(gè)安全頁(yè)面來(lái)進(jìn)行,所以整個(gè)過(guò)程仍是比較安全的 —— 至少在登錄頁(yè)面是安全的。

對(duì)于這種安全頁(yè)面的登錄模式,黑客硬要下手仍是有辦法的。在之前的文章里也列舉了幾種最常用的方法:攔截 HTTPS 向下轉(zhuǎn)型、偽造證書、跳轉(zhuǎn)釣魚網(wǎng)站。

 

 

其中轉(zhuǎn)型 HTTPS 的手段最為先進(jìn),甚至一些安全意識(shí)較強(qiáng)的用戶也時(shí)有疏忽。

然而,用戶的意識(shí)和知識(shí)總是在不斷提升的。尤其在如今各種網(wǎng)上交易的時(shí)代,安全常識(shí)廣泛普及,用戶在賬號(hào)登錄時(shí)會(huì)格外留心,就像過(guò)馬路時(shí)那樣變得小心翼翼。

久而久之,用戶的火眼金睛一掃地址欄即可識(shí)別破綻。

 

 

因此,這種傳統(tǒng)的登錄模式,仍具備一定的安全性,至少能給用戶提供識(shí)別真假的機(jī)會(huì)。

華麗的登錄框

不知從何時(shí)起,人們開(kāi)始熱衷在網(wǎng)頁(yè)里模仿傳統(tǒng)應(yīng)用程序的界面。無(wú)論控件、窗口還是交互體驗(yàn),紛紛向著本地程序靠攏,效果越做越絢。

然而華麗的背后,其本質(zhì)仍是一個(gè)網(wǎng)頁(yè),自然掩蓋不了網(wǎng)頁(yè)的安全缺陷。

當(dāng)網(wǎng)頁(yè)特效蔓延到一些重要數(shù)據(jù)的交互 —— 例如賬號(hào)登錄時(shí),風(fēng)險(xiǎn)也隨之產(chǎn)生。因?yàn)樗淖兞擞脩舻氖褂昧?xí)慣,同時(shí)也徹底顛覆了傳統(tǒng)的意識(shí)。

 

 

乍一看,似乎也沒(méi)什么問(wèn)題。雖然未使用登錄頁(yè)跳轉(zhuǎn),但數(shù)據(jù)仍通過(guò) HTTPS 傳輸,途中還是無(wú)法被截獲。

HTTP 頁(yè)面用 HTTPS 有意義嗎?

如果認(rèn)為這類登錄框沒(méi)什么大問(wèn)題,顯然還沒(méi)領(lǐng)悟到『流量劫持』的精髓 —— 流量不是單向的,而是有進(jìn)也有出。

能捕獲你『出流量』的黑客,大多也有辦法控制你的『入流量』。這在流量劫持第一篇里也詳細(xì)列舉了。

使用 HTTPS 確實(shí)能保障通信的安全。但在這個(gè)場(chǎng)合里,它只能保障『發(fā)送』的數(shù)據(jù),對(duì)于『接收』的流量,則完全不在其保護(hù)范圍內(nèi)。

因?yàn)檎麄€(gè)登錄框都當(dāng)作『虛擬窗口』嵌套在主頁(yè)面里的,因此其中的一切都在同個(gè)頁(yè)面環(huán)境里。而主頁(yè)面使用的仍是不安全的 HTTP 協(xié)議,所以注入的 XSS 代碼能輕而易舉的控制登錄框。

 

 

當(dāng)然,或許你會(huì)說(shuō)這只是設(shè)計(jì)缺陷。若是直接嵌入 HTTPS 登錄頁(yè)的 iframe 框架,那就會(huì)因同源策略而無(wú)法被 XSS 控制了。

這樣的改進(jìn)確實(shí)能提高一些安全性,但也只是略微的。既然我們能控制主頁(yè)面,里面顯示什么內(nèi)容完全可以由 XSS 說(shuō)了算。不論什么登錄框、框架頁(yè),甚至安全插件,我們都可以將其刪除,用看起來(lái)完全相同的文本框代替。得到賬號(hào)后,通過(guò)后臺(tái)反向代理實(shí)現(xiàn)登錄,然后通知前端腳本偽造一個(gè)登錄成功的界面。

所以,HTTPS 被用在 HTTP 頁(yè)面里,意義就大幅下降了。

和『緩存投毒』配合出擊

在流量劫持第二篇里提到『HTTP 緩存投毒』這一概念,只要流量暫時(shí)性的被劫持,都可導(dǎo)致緩存長(zhǎng)期感染。但這種攻擊有個(gè)前提,必須事先找到站點(diǎn)下較穩(wěn)定的腳本資源,做投毒的對(duì)象。

傳統(tǒng)登錄

在傳統(tǒng)的登錄模式里,緩存投毒非常難以利用:

HTTPS 資源顯然無(wú)法被感染。

而使用 HTTPS 向下轉(zhuǎn)型的方案,也會(huì)因?yàn)殡x開(kāi)劫持環(huán)境,而無(wú)法訪問(wèn)中間人的 HTTP 版登陸頁(yè)面,導(dǎo)致緩存失效;或者這個(gè)真實(shí)的 HTTP 版的登錄頁(yè)面根本就不接受你的本地緩存,直接重定向到正常的 HTTPS 頁(yè)面。

因此只有在主頁(yè)面上,修改鏈接地址,讓用戶跳轉(zhuǎn)到釣魚網(wǎng)站去登錄,才能勉強(qiáng)利用。

浮層登錄

制作一個(gè)精良的浮層登錄框,需要不少的界面代碼,所以經(jīng)常引用 jQuery 這類通用腳本庫(kù)。而這些腳本往往是長(zhǎng)久不會(huì)修改的,因此是緩存投毒的絕好原料。

所以,浮層登錄框的存在,讓『緩存投毒』有了絕佳的用武之地。

在之前的文章 WiFi流量劫持 —— JS腳本緩存投毒,演示了如何利用 www.163.com 下的某個(gè)長(zhǎng)緩存腳本進(jìn)行投毒,最終利用網(wǎng)易的浮層登錄框獲取賬號(hào)。盡管網(wǎng)易也使用 HTTPS 傳輸賬號(hào)數(shù)據(jù),但在流量攻擊面前不堪一擊。

盡管這種登錄模式風(fēng)險(xiǎn)重重,但最近百度也升級(jí)成浮層登錄框,并且還是所有產(chǎn)品。所以,我們?cè)俅螄L試那套的古老方法,看看在如今是否仍能發(fā)起攻擊。

我們選幾個(gè)最常用的產(chǎn)品線,進(jìn)行一次緩存掃描:

 

 

果然,每個(gè)產(chǎn)品線里都有長(zhǎng)期未修改、并且緩存很久的腳本庫(kù)。

接著開(kāi)啟我們的釣魚熱點(diǎn),讓前來(lái)連接的用戶,訪問(wèn)任何一個(gè)頁(yè)面都能中毒。

為了讓釣魚熱點(diǎn)更隱蔽,這次我們不再使用路由器,而是利用報(bào)廢的安卓手機(jī)(下一篇文章詳細(xì)講解如何實(shí)現(xiàn))。

 

 

為了不影響附近辦公,本文就不演示同名熱點(diǎn)釣魚了,所以隨便取了個(gè)名字。

接著讓『受害者』來(lái)連一下我們的熱點(diǎn):

 

 

之前正好開(kāi)著網(wǎng)頁(yè),所以很快收到了 HTTP 請(qǐng)求。我們?cè)谌魏尉W(wǎng)頁(yè)里注入 XSS,進(jìn)行緩存投毒。

(由于原理和之前講一樣,所以這里就省略步驟了)

然后重啟電腦,連上正常的 WiFi(模擬用戶回到安全的場(chǎng)合)。

打開(kāi) tiebai.baidu.com,一切正常。

 

 

開(kāi)始登錄了。。。

看看這種浮層登錄框,能否躲避我們的從沉睡中喚起的 XSS 腳本:

 

 

奇跡依然發(fā)生!

由于之前有過(guò)詳細(xì)的原理講解,因此這里就不再累述了。不過(guò)在實(shí)戰(zhàn)中,緩存投毒+非安全頁(yè)面登錄框,是批量獲取明文賬號(hào)的最理想手段。

不可逆的記憶

如果現(xiàn)在再將登錄模式換回傳統(tǒng)的,還來(lái)得及嗎?顯然,為時(shí)已晚。

當(dāng)網(wǎng)站第一次從傳統(tǒng)登錄,升級(jí)到浮層登錄時(shí),用戶大多不會(huì)立即輸入,而是『欣賞』下這個(gè)新版本的創(chuàng)意。確認(rèn)不是病毒廣告彈出的窗口,而是真的官方設(shè)計(jì)的,才開(kāi)始登錄。

當(dāng)用戶多次使用浮層登錄框之后,慢慢也就接受了這種新模式。

即使未來(lái),網(wǎng)站取消了浮層登錄,黑客使用 XSS 創(chuàng)建一個(gè)類似的浮層,用戶仍會(huì)毫不猶豫的輸入賬號(hào)。因?yàn)樵谒麄兊挠洃浝?,官方就曾使用過(guò),仍然保留著對(duì)其信任度。

安全性升級(jí)

既然這個(gè)過(guò)程是不可逆的,撤回傳統(tǒng)模式意義也不大。事實(shí)上,使用浮層的用戶體驗(yàn)還是不錯(cuò)的,對(duì)于不了解安全性的用戶來(lái)說(shuō),還是喜歡華麗的界面。

要保留體驗(yàn),又得考慮安全性,最好的解決方案就是將所有的頁(yè)面都使用 HTTPS,將站點(diǎn)武裝到牙齒,不留一絲安全縫隙。這也是未來(lái)網(wǎng)站的趨勢(shì)。


分享文章:科普:流量劫持之浮層登錄框的隱患
本文路徑:http://www.5511xx.com/article/ccisoij.html