摘要:雖然這篇文章的標題是一起來寫個釣魚的站點但是希望僅僅把它當作飯后的談資就好切不可在實際生活中真正的使用。而這里我們利用種認證的方式來釣魚。
雖然這篇文章的標題是一起來寫個釣魚的站點,但是希望僅僅把它當作飯后的談資就好,切不可在實際生活中真正的使用。不然,網絡警察到你家查你水表的時候,我可不負責任啊。而實際上要真心做到對應的效果很難,只是作為安全知識的入門學習。
閑話少說,還是直接進入主題吧。這里是需要實現的一些工具的清單:
PHP 5.x及以上版本
1個現代的瀏覽器,不要拿IE6這樣老古董的瀏覽器出來,會死人的
Apache還是Nginx隨意,能用就好
一款文本編輯器,比如記事本
工具都準備妥當了,那么就直奔主題了哦。老司機要開車了,要坐好扶穩了。
在Web中釣魚的方式有很多方式,不過這個名字還是源自生活,此時聯想到在長江邊垂釣的場景,滾滾長江東逝水...。
萬事俱備只欠東風,工具都準備好了,現在還缺的就是魚了。魚從哪里來,自然就是從受害者身上謀取啦。而這里我們利用1種401認證的方式來釣魚。
首先,我們新建1個index.php的腳本,其內容類似如下:
首頁 首頁
內容簡單的很,實際上真正有用的就是這么一行:
我們使用腳本的方式異步請求php的1個腳本。搞技術的要求能舉一反三,我見過一些信息安全人員,除了會寫POC外和使用一些工具外,對應的原理是一竅不懂的。甚至為什么可以這樣做是一問三不知的。
很多人以為黑客是群很聰明的人,實際不然,不排除這里面有一些所謂的腳本小子,整天復制搞破壞的。
閑外話還是少說,如果你覺得上面的script標簽有點礙眼,你完全可以換,比如換成link、img等標簽完全都是可以的。這就是舉一反三的能力吧,畢竟真實場景中很少有剛好就那么巧可以被利用的。
而test.php中的內容類似如下:
我們判斷當前服務器中是否存在鍵名HTTP_AUTHORIZATION,如果不存在則直接拋出1個401的認證請求頭。而瀏覽器獲取到該401狀態后,會自動彈出1個對話框要求使用者輸入用戶名和密碼。
演示過程
如果使用者按照我們劇情的安排輸入了用戶名和密碼,那么我們就成功釣到了1條(人)魚。
需要注意的是,這里我們使用的是Basci認證,而不是HTTP中另1個Digest的認證。不然到時傳遞過來的是MD5的結果,還需要花費時間解密,得不償失。
眼尖的你可能發現,我們使用的是Base64解碼函數base64_decode。沒錯,Basic認證的用戶名和密碼會使用Base64進行編碼,直接獲取到其內容進行解碼即可,是不是很簡單。
在這里,我們將其存入到session中,以便可以在前端顯示,這樣就可以看到效果了。而更多情況下,是直接存儲到文件或數據庫中,接著搞不好就拿著這些賬號去登錄你的銀行卡。
為了看出效果,我們在index.php中添加如下幾行代碼:下面是演示的效果過程,首先是訪問首頁:
然后入套,輸入自己的用戶名和密碼:
魚上鉤了,被釣了起來:
結語看到,你可能會罵娘了。這么簡單的東西,搞得這么神秘兮兮。
實際上,原理的東西總是很簡單的,重要是組合利用。如果讓自己隱匿的更深一些,還有更具誘惑性才能讓獵物上鉤。而釣魚的過程不就是利用如下幾個切入點:誘餌味道做的很不錯
魚鉤藏匿在誘餌里面
魚肚子餓了
魚發現誘餌味道很不錯,就咬了一口
結果魚就上鉤了。而人之所以會被釣的過程主要還是如下幾個情況:
用戶安全意識薄弱,過于盲目相信瀏覽器
瀏覽器廠商相關安全沒有做好,致使用戶受害
腳本小子頁面做的很不錯,真假難辨
當然不排除還有其他一些情況,實在想不出來了,腦洞太小。
當然上面這么丑陋的網站,百分百是釣不到魚的。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/31806.html
摘要:僅在美國,證書的數量就高達張。排名第二的德國只有張證書。到年,證書市場預計將達到億美元根據的一份報告,全球證書授權市場將以的復合年增長率從年的萬美元增長到億美元。考慮到這項調查已過去了年,現今的數據預計達到了。 1. 已有1.57億張SSL證書應用于互聯網 根據BuiltWith的數據,截至2021年2月18日,檢測到在互聯網上已有超過157,605,195億張SSL證書,這幾乎...
摘要:僅在美國,證書的數量就高達張。排名第二的德國只有張證書。到年,證書市場預計將達到億美元根據的一份報告,全球證書授權市場將以的復合年增長率從年的萬美元增長到億美元。考慮到這項調查已過去了年,現今的數據預計達到了。 1. 已有1.57億張SSL證書應用于互聯網 根據BuiltWith的數據,截至2021年2月18日,檢測到在互聯網上已有超過157,605,195億張SSL證書,這幾乎...
摘要:而未來的互聯網網絡鏈路日趨復雜,加重了安全事件發生。蘋果強制開啟標準蘋果宣布年月日起,所有提交到的必須強制開啟安全標準,所有連接必須使用加密。最后是安全意識。 互聯網發展20多年,大家都習慣了在瀏覽器地址里輸入HTTP格式的網址。但前兩年,HTTPS逐漸取代HTTP,成為傳輸協議界的新寵。?早在2014年,由網際網路安全研究組織Internet Security Research Gr...
摘要:此漏洞允許威脅行為者通過遠程工作人員分發惡意文檔,但使其看起來像是直接從下載的。目前顯示,的跨站漏洞已經修復。而以上釣魚攻擊利用的是中第二普遍的安全問題,存在于近三分之二的應用中。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidde...
閱讀 844·2019-08-30 15:54
閱讀 3316·2019-08-29 15:33
閱讀 2701·2019-08-29 13:48
閱讀 1212·2019-08-26 18:26
閱讀 3333·2019-08-26 13:55
閱讀 1475·2019-08-26 10:45
閱讀 1163·2019-08-26 10:19
閱讀 305·2019-08-26 10:16