iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 4
0
自我挑戰組

No Security No Sleep系列 第 4

0x04 Initiating Control-2

  • 分享至 

  • xImage
  •  

除了XSS各種靈活變化之外,還有其他能夠一起搭配的方法控制

使用遭受危急的Web應用服務

尋找已經有漏洞如被SQL注入或可遠端程式執行的服務,嘗試取得存取權,成功取得可以修改包含惡意邏輯的內容
使得任何拜訪的瀏覽器都能執行注入的內容,能取得高訪客流量的服務,更能達到自己的目的

使用廣告網路

購買合法的廣告,但內嵌一段自己控制的JavaScript惡意代碼

社交工程攻擊

針對整個安全鏈最為薄弱的人力方面,策劃某種形式的詐欺騙局,使人執行動作或透露資訊,金融業為主要受害者之一
通常會利用網路釣魚技術建立目標的漏洞後,嘗試注入指令到目標瀏覽器當中

  • 釣魚式攻擊
    一種用來詐騙取得線上服務使用者憑證的方法
    • 電子郵件釣魚
      寄給多位收件者,要受害者提供有價值的資訊回覆,也有包含惡意連結或附件在內的手法
    • 網路釣魚
      申請一個假網站冒充合法網站的,使受害者瀏覽並提入一些資料,為了誘拐受害者,常會利用釣魚郵件、即時通訊、SMS訊息,甚至是語音通話
    • 魚叉式釣魚
      通常是欺詐網站,但主要針對小型或特定目標設計誘惑的方式
    • 捕鯨
      與魚叉式釣魚同手法,但目標是中高階或高階管理人員
  1. 第一階段:網站
    釣魚攻擊第一步先架設一個內含惡意程式的假網站,根據目標而制定,有可能是完全虛構亦或者是偽裝成合法的,提供比SPA還多內容更能降低目標的戒心,而有一些方法可以協助
  • 從頭開始劍網站:適合魚叉式釣魚,不過較費時
  • 複製修改既有網站:可以複製欲偽裝的網站,直接修改內容
  • 複製既有網站:和前一點雷同,但此種不修改內容,大多騙取使用者資訊用
  • 顯示錯誤頁面:只要呈現錯誤頁面即可,使得顯示伺服器錯誤,但背後瀏覽器同時執行惡意程式碼

倘若能找到合法web應用服務的XSS漏洞,直接當成釣魚網站,好處除了方便外對於受害者不可能懷疑網站URL,使得成功率更高


上一篇
0x03 Initiating Control
下一篇
0x05 Initiating Control-3
系列文
No Security No Sleep13
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言