iT邦幫忙

2022 iThome 鐵人賽

DAY 2
0
Security

HONEYPOT×TRICK 100%不純保證系列 第 2

Trick #1 [登入機制] 見花非花,見池非池

  • 分享至 

  • xImage
  •  

開賽第二天就是假日,水起來!


https://ithelp.ithome.com.tw/upload/images/20220917/20103688F3awaM34PY.jpg

Trick 篇大致朝向兩個方向發想,一個是以人(攻擊者)為假想敵,多以障眼法、誘導法來欺瞞。另一個以程式為假想敵,雖然仍可以用傳統方法來誘導,不過通常也需要程式來對付程式才有辦法應對大量的攻擊。

說到障眼法,小時候受衝擊的第一個印象是一款解謎遊戲「三界諭」(見上圖),雖然亂走亂衝即可破解這個謎題,但不得不說這種對既定印象的反轉,是最基本的一種技法,延伸到現實就有用不完的題材。即使目標為程式亦是如此,因為程式本身也是經由邏輯撰寫而成,如果能推敲一個人、一支程式的邏輯,就可以此為基石衍生各種方式應付。

天馬行空之登入的機制

說到登入的方法,一般就是帳號密碼登入吧?
https://ithelp.ithome.com.tw/upload/images/20220917/20103688EBmpOYdJEA.jpg

圖片來源: Dreamstime

如果放在資訊方面就是常見的釣魚方式,以假的登入視窗誘騙使用者輸入而盜取帳密。那反過來呢? 如果一個網頁上的登入機制擺上明顯易見的帳密欄位,背後隱藏其他登入方式的話...
需要解決的有:

  • 製造一個假的帳號登入回傳訊息
  • 建立隱藏式的真正登入方式。如指紋、畫圖、數字、甚至點擊物件等
  • 如何建立隱藏的登入方式。對人可輕易騙過,但仍需要防止程式如檢視源始碼等暴露的風險。

以人為目標的欺騙在遊戲上最多見,偷推一下小朋友也適合玩的「茶葉蛋大冒險」


上一篇
# 解釋解釋,到底在寫啥東西
下一篇
Trick #2 [系統的提示] 沒有 Error 的世界
系列文
HONEYPOT×TRICK 100%不純保證33
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言