摘要:虽然这篇文章的标题是一起来写个钓鱼的站点但是希望仅仅把它当作饭后的谈资就好切不可在实际生活中真正的使用。而这里我们利用种认证的方式来钓鱼。
虽然这篇文章的标题是一起来写个钓鱼的站点,但是希望仅仅把它当作饭后的谈资就好,切不可在实际生活中真正的使用。不然,网络警察到你家查你水表的时候,我可不负责任啊。而实际上要真心做到对应的效果很难,只是作为安全知识的入门学习。
闲话少说,还是直接进入主题吧。这里是需要实现的一些工具的清单:
PHP 5.x及以上版本
1个现代的浏览器,不要拿IE6这样老古董的浏览器出来,会死人的
Apache还是Nginx随意,能用就好
一款文本编辑器,比如记事本
工具都准备妥当了,那么就直奔主题了哦。老司机要开车了,要坐好扶稳了。
在Web中钓鱼的方式有很多方式,不过这个名字还是源自生活,此时联想到在长江边垂钓的场景,滚滚长江东逝水...。
万事俱备只欠东风,工具都准备好了,现在还缺的就是鱼了。鱼从哪里来,自然就是从受害者身上谋取啦。而这里我们利用1种401认证的方式来钓鱼。
首先,我们新建1个index.php的脚本,其内容类似如下:
首页 首页
内容简单的很,实际上真正有用的就是这么一行:
我们使用脚本的方式异步请求php的1个脚本。搞技术的要求能举一反三,我见过一些信息安全人员,除了会写POC外和使用一些工具外,对应的原理是一窍不懂的。甚至为什么可以这样做是一问三不知的。
很多人以为黑客是群很聪明的人,实际不然,不排除这里面有一些所谓的脚本小子,整天复制搞破坏的。
闲外话还是少说,如果你觉得上面的script标签有点碍眼,你完全可以换,比如换成link、img等标签完全都是可以的。这就是举一反三的能力吧,毕竟真实场景中很少有刚好就那么巧可以被利用的。
而test.php中的内容类似如下:
我们判断当前服务器中是否存在键名HTTP_AUTHORIZATION,如果不存在则直接抛出1个401的认证请求头。而浏览器获取到该401状态后,会自动弹出1个对话框要求使用者输入用户名和密码。
演示过程
如果使用者按照我们剧情的安排输入了用户名和密码,那么我们就成功钓到了1条(人)鱼。
需要注意的是,这里我们使用的是Basci认证,而不是HTTP中另1个Digest的认证。不然到时传递过来的是MD5的结果,还需要花费时间解密,得不偿失。
眼尖的你可能发现,我们使用的是Base64解码函数base64_decode。没错,Basic认证的用户名和密码会使用Base64进行编码,直接获取到其内容进行解码即可,是不是很简单。
在这里,我们将其存入到session中,以便可以在前端显示,这样就可以看到效果了。而更多情况下,是直接存储到文件或数据库中,接着搞不好就拿着这些账号去登录你的银行卡。
为了看出效果,我们在index.php中添加如下几行代码:下面是演示的效果过程,首先是访问首页:
然后入套,输入自己的用户名和密码:
鱼上钩了,被钓了起来:
结语看到,你可能会骂娘了。这么简单的东西,搞得这么神秘兮兮。
实际上,原理的东西总是很简单的,重要是组合利用。如果让自己隐匿的更深一些,还有更具诱惑性才能让猎物上钩。而钓鱼的过程不就是利用如下几个切入点:诱饵味道做的很不错
鱼钩藏匿在诱饵里面
鱼肚子饿了
鱼发现诱饵味道很不错,就咬了一口
结果鱼就上钩了。而人之所以会被钓的过程主要还是如下几个情况:
用户安全意识薄弱,过于盲目相信浏览器
浏览器厂商相关安全没有做好,致使用户受害
脚本小子页面做的很不错,真假难辨
当然不排除还有其他一些情况,实在想不出来了,脑洞太小。
当然上面这么丑陋的网站,百分百是钓不到鱼的。
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/31806.html
摘要:仅在美国,证书的数量就高达张。排名第二的德国只有张证书。到年,证书市场预计将达到亿美元根据的一份报告,全球证书授权市场将以的复合年增长率从年的万美元增长到亿美元。考虑到这项调查已过去了年,现今的数据预计达到了。 1. 已有1.57亿张SSL证书应用于互联网 根据BuiltWith的数据,截至2021年2月18日,检测到在互联网上已有超过157,605,195亿张SSL证书,这几乎...
摘要:仅在美国,证书的数量就高达张。排名第二的德国只有张证书。到年,证书市场预计将达到亿美元根据的一份报告,全球证书授权市场将以的复合年增长率从年的万美元增长到亿美元。考虑到这项调查已过去了年,现今的数据预计达到了。 1. 已有1.57亿张SSL证书应用于互联网 根据BuiltWith的数据,截至2021年2月18日,检测到在互联网上已有超过157,605,195亿张SSL证书,这几乎...
摘要:而未来的互联网网络链路日趋复杂,加重了安全事件发生。苹果强制开启标准苹果宣布年月日起,所有提交到的必须强制开启安全标准,所有连接必须使用加密。最后是安全意识。 互联网发展20多年,大家都习惯了在浏览器地址里输入HTTP格式的网址。但前两年,HTTPS逐渐取代HTTP,成为传输协议界的新宠。早在2014年,由网际网路安全研究组织Internet Security Research Gr...
摘要:此漏洞允许威胁行为者通过远程工作人员分发恶意文档,但使其看起来像是直接从下载的。目前显示,的跨站漏洞已经修复。而以上钓鱼攻击利用的是中第二普遍的安全问题,存在于近三分之二的应用中。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidde...
阅读 847·2019-08-30 15:54
阅读 3317·2019-08-29 15:33
阅读 2703·2019-08-29 13:48
阅读 1216·2019-08-26 18:26
阅读 3334·2019-08-26 13:55
阅读 1478·2019-08-26 10:45
阅读 1165·2019-08-26 10:19
阅读 305·2019-08-26 10:16