原贴地址: http://bbs.kafan.cn/thread-1421026-1-1.html

浅谈所谓 基础认证钓鱼

背景介绍
http://www.wooyun.org/bugs/wooyun-2010-015248

请认真阅读以上背景资料??否则本文只会给你带来困惑

本文由xkongbai撰写??谢绝转载

用词很多不准确??我对网页这一块也是才开始打酱油??如果有疏漏 欢迎指出

以下是正文

示例和原理

示例网址:
http://finance.huagu.com/rdsm/1211/135648.html 

查看上述示例网址的源代码??很容易发现?

 


??这个代码是诱发登录窗口页面的元凶

这个代码可以看出

1. 这个图片显示为1X1??即 实际上的不可见
一般只有用于统计的图片这样设置??而这个作为分割线的图片这样显示??显然是非常可疑的

2.获取这个图片需要登录??即弹出的那个登录框

类似于许多论坛游客是没有下载权限的
点击下载附件??会接到提示 要求你登录 原理是一样的

只要你试图访问
http://cms2.huagu.com/
这个服务器??都需要登录
然后??不管登录成功与否??特意构造的服务器都会记录你的登录ID和key??这样 钓鱼者就能成功获取到了所需


这就是那个所谓基础认证钓鱼的攻击原理

 

构造攻击方式:

设置一个服务器A??
设置整个服务器或者部分内容要求权限 登录???并设置记录所有登录ID和密码无论是否验证通过?
服务器提示加入诱导性内容。诸如(登录超时,请重新登录 等等)


在服务器B的网页添加属于服务器A的元素。
比如回帖时插入图片,个性签名时的图片,此类方法权限要求低,无需直接对服务器B发起攻击提权。
(服务器A和B可以是相同域名,只要你能把服务器B给黑了)
【常见的可以使用插入图片等,实际上,任何元素,不局限于图片,只要是对服务器A的权限内容发出请求,都会有验证弹窗】

坐等上钩,定期查看服务器A的日志即可获取受害者的ID和key

攻击防御办法:

这个所谓基础认证钓鱼,就技术上而言毫无亮点,唯一的思路亮点是思路猥琐。。。

将来应该可以从浏览器层面实现 对访问域名的跨站登录弹窗 过滤【我猜的】
即在访问服务器B时 服务器A的弹窗是默认不被弹出的[此防御方法在当服务器A\B是同一域名时,失效]

只要知道了正常访问是不会有这种界面丑陋的登录弹窗??不去输入ID和key
这种钓鱼就毫无价值了
而且??一般的??弹窗 上的服务器域名与访问的主域名??不一致 也应察觉到可疑
不过 对于中老年人和小白而言
嗯嗯 没啥好说的???听天由命吧。。。 ?