技术学习:我“代表”猫扑欺骗你!(图)
来源:不详 责任编辑:admin 发表时间:2013-07-01 06:07 点击:次
转载请注明出处 电脑报(http://www.shudoo.com)
2009年第20期F版 责任编辑:陈邓新
作者:赵丰年 王海瑞 苗得雨
很受年轻人喜欢的猫扑,有一个存在安全隐患的页面,黑客用这个安全隐患进行钓鱼、挂马,以猫扑的名义欺骗你。
如果有一天,你收到一封包含猫扑链接的邮件或者QQ群里面有人发了猫扑链接,你会怀疑吗?如果在确定域名的确是猫扑的,相信很多人都会毫不犹豫的点击。此时,你有可能就陷入了黑客构造的钓鱼网站或者挂马陷阱(图1)。
这是怎么回事?其实猫扑网站中的某些页面存在安全隐患(该安全隐患已经通知了猫扑网站)。黑客可以利用它进行网络钓鱼或者进行挂马,如何你上当点击了那些网页,你就可能被网络骗子受蒙骗或者电脑被病毒入侵。
未过滤外部网址
图1其实是一个半真半假的网页,一部分是猫扑的真实页面,另外一部分页面是来自http://xingqibar.cn这个黑客钓鱼网站。之所以会出现这样的问题,主要就是猫扑的http://dzh2.mop.com/ladyClub/indexframe.jsp网页存在外部网址未过滤的情况。
利用这个安全隐患,黑客可以构造http://dzh2.mop.com/ladyClub/indexframe.jsp?url=http://xingqibar.cn,“当用户访问这个网址的时候,indexframe.jsp会获取url=后面的地址,并将http://xingqibar.cn框架套入当前网页中,在特定位置显示出来。
很显然,这是网页设计者在编写这个页面的时候忽略了对url=后面的参数进行过滤,这就如同一个公司虽然安装了大门,却忘记了给门安装门锁一样,其结果是由于没有钥匙的鉴别条件,每个人都能够混入这个公司,冒充公司内部的人员。
通常正常的流程应该是,先获取url=后面的地址,之后判断这个地址是否合法,也就是这个url=后面的连接是否是网站内部的地址,这个可以通过JS脚本判断网址域名前面的字符来确定网址是否合法。
比如dzh2.mop.com,通过判断.com前面的字符是否是mop,如果是内部合法地址就将其在页面中显示,外部网址就不在页面中显示,这样黑客就没有了可乘之机。几乎所有的给用户造成伤害的网络安全大问题都出在了对一个小小的细节的疏忽上。
钓鱼攻击演示
第一步:黑客要先制作一个钓鱼网页。用Dreamweaver或者Microsoft Expression Web完成这个工作(图2),在这个钓鱼页面中使用Request输出函数,就可以保存钓鱼页面中输入的用户名、密码等信息。根据不同的需要,黑客可以制作不同的钓鱼网页,例如中奖钓鱼网页、购物钓鱼网页等。
2009年第20期F版 责任编辑:陈邓新
作者:赵丰年 王海瑞 苗得雨
很受年轻人喜欢的猫扑,有一个存在安全隐患的页面,黑客用这个安全隐患进行钓鱼、挂马,以猫扑的名义欺骗你。
如果有一天,你收到一封包含猫扑链接的邮件或者QQ群里面有人发了猫扑链接,你会怀疑吗?如果在确定域名的确是猫扑的,相信很多人都会毫不犹豫的点击。此时,你有可能就陷入了黑客构造的钓鱼网站或者挂马陷阱(图1)。
这是怎么回事?其实猫扑网站中的某些页面存在安全隐患(该安全隐患已经通知了猫扑网站)。黑客可以利用它进行网络钓鱼或者进行挂马,如何你上当点击了那些网页,你就可能被网络骗子受蒙骗或者电脑被病毒入侵。
image001.jpg (29.43 KB)
2009-6-1 11:12
未过滤外部网址
图1其实是一个半真半假的网页,一部分是猫扑的真实页面,另外一部分页面是来自http://xingqibar.cn这个黑客钓鱼网站。之所以会出现这样的问题,主要就是猫扑的http://dzh2.mop.com/ladyClub/indexframe.jsp网页存在外部网址未过滤的情况。
利用这个安全隐患,黑客可以构造http://dzh2.mop.com/ladyClub/indexframe.jsp?url=http://xingqibar.cn,“当用户访问这个网址的时候,indexframe.jsp会获取url=后面的地址,并将http://xingqibar.cn框架套入当前网页中,在特定位置显示出来。
很显然,这是网页设计者在编写这个页面的时候忽略了对url=后面的参数进行过滤,这就如同一个公司虽然安装了大门,却忘记了给门安装门锁一样,其结果是由于没有钥匙的鉴别条件,每个人都能够混入这个公司,冒充公司内部的人员。
通常正常的流程应该是,先获取url=后面的地址,之后判断这个地址是否合法,也就是这个url=后面的连接是否是网站内部的地址,这个可以通过JS脚本判断网址域名前面的字符来确定网址是否合法。
比如dzh2.mop.com,通过判断.com前面的字符是否是mop,如果是内部合法地址就将其在页面中显示,外部网址就不在页面中显示,这样黑客就没有了可乘之机。几乎所有的给用户造成伤害的网络安全大问题都出在了对一个小小的细节的疏忽上。
钓鱼攻击演示
第一步:黑客要先制作一个钓鱼网页。用Dreamweaver或者Microsoft Expression Web完成这个工作(图2),在这个钓鱼页面中使用Request输出函数,就可以保存钓鱼页面中输入的用户名、密码等信息。根据不同的需要,黑客可以制作不同的钓鱼网页,例如中奖钓鱼网页、购物钓鱼网页等。
image002.jpg (19.39 KB)
2009-6-1
相关新闻>>
最新推荐更多>>>
- 发表评论
-
- 最新评论 进入详细评论页>>