RSS Feed
更好更安全的互联网

关于社交网络里的高级钓鱼攻击

2013-04-09

休息了个清明节,这段时间,收听的好些微信公众账号都越来越相近了啊,原因是:思维干扰……

我继续我的风格,我自己私人的公众账号是“懒人在思考”,不过好久好久没发内容了,真是应对了个“懒”字。而在这个公众账号(网站安全中心)发的内容肯定都会定位在网站安全这块。

前段时间一直在写工具党、大数据黑客相关的科普文,今天开始换点口味好了,来看看前端攻击里一些“惊悚”的攻击方式。

今天只说高级钓鱼

如果深刻知道这种钓鱼攻击的人,估计以后会谈鱼色变,这次我不科普太多文字,只简单说下这种在大众面前几乎一片空白的攻击方式,所以看完本篇文字,很多人还会继续得瑟:“反正我不会中招”,深入的讲解我一般都放在一些内部的安全培训上了,如果有时间计划整出一篇paper出来,一定很精彩。

大家想想,在社交网络里(weibo也算,具有社交属性的都算),我们对很多专属于这个社交网络的风格元素是不是习以为常了,比如漂亮的登录页面、设置页面、修改密码页面、弹出层、聊天框、发消息界面等等,天天见,天天用,对这样的风格习以为常了,哪天出现一个风格类似的新功能(比如提示“密码异常,修改密码”的弹出层),也不会怀疑,还以为是新增的友好功能……

这些对于JavaScript来说都是可以伪造的啊,而且可以超级YD的伪造,代码量也不用多少,为什么呢?这得感谢那些伟大的前端工程师,他们封装了很多超级方便的接口:)

只要一个XSS(跨站脚本攻击),就可以引入任意JavaScript代码,鬼魂一般,伪造了一个看起来真的假界面,钓到了想要的关键数据,目的就达到了。其实在真实的高级攻击里,如果能不钓就不钓,多了交互就多了攻击复杂度,一段JavaScript也许通过一些Hacking技巧就能拿到如明文密码、隐私资料等数据,只要一招。

在社交网络里,用户体验好作为第一要素,对于攻击者来说,攻击也会讲究用户体验好,哪怕没有XSS,也可以完成攻击,想想,如何伪装界面?只是利用XSS的攻击更加原汁原味(我常说的原生态攻击方式)。

原生态除了UI可以利用原生,还有相关的JS库接口,比如针对weibo.com的一个小玩笑,大家可以用Chrome浏览器登录自己的微博,然后按f12打开“开发者工具”,在Console中,复制上如下代码,回车执行:

STK.core.io.ajax({method:'POST',url:'/aj/message/add',args:{text:document.cookie.substr(0,300),screen_name:'%E4%BD%99%E5%BC%A6'}})

如此简洁的代码,攻击者要是利用起来该有多方便:D

钓鱼无非就是欺骗,在社交网络里利用XSS进行的高级钓鱼攻击真的让人防不胜防,这种攻击我很早就提出,我感觉已经在逐渐流行了,这就是为什么这两年经常有人提到的“美工黑客”,恩,黑客为了生存,开始更猥琐了,开始接触美工了,美工的目的就是视觉欺骗。

最后:多一分警惕,少一次泄密……

 

----------分割线----------

 

我们会持续性的进行安全科普,大家有什么问题可以在微信里给我们留言,我们会认真对待每份留言,并在下次发文时进行必要的解答。如果大家有什么安全八卦也欢迎投稿给我们,我们的微信:网站安全中心(ID:wangzhan_anquan)。

科普改变世界,我们一起努力让这个互联网更好更安全吧!

本文由知道创宇安全研究团队-余弦撰写。

本文首发在我们的官方微信,您可以在微信关注我们:网站安全中心

作者:一鸣 燕 | Categories:技术分享 | Tags:

一条评论

  1. helloworld说道:

    这代码真逗。。。。呵呵

发表评论