從釣魚樣本到某大廠存儲型XSS
https://xz.aliyun.com/t/2322
攻擊以及偽裝流程分析:
1.功能變數名稱偽裝
2.借助大廠漏洞
3.標題以及跳轉的偽裝
4.稍作修改的登錄介面
5.對惡意程式碼的運行環境做了嚴格的限制
6.下線網頁銷聲匿跡
總結一下幾點:
1.絕不要輕易點開或者相信不明來源或者稀奇古怪的連結,特別要注意點短功能變數名稱,這是常見的偽裝手段。
2.絕不要在不確定真實性的地方輸入你寶貴的密碼。
3.不要輕易掃描來源不明的二維碼(我發現目前這一釣魚已經變異出了二維碼的版本,可以說更加隱蔽)
4.釣魚頁面的設置往往存在功能性的缺失,比如修改密碼其實是點不了的,可以先簡單的測試一下。
5.一定要確定當前訪問的頁面的網址究竟是什麼,不明網站不要相信,即使是知名網站也不能輕易相信,就像我分析的這個攻擊就是利用用戶對知名網站的充分的信任(總之,明明不是你主動訪問的網站卻出現在你的URL中肯定是可疑的)
6.一個密碼盡可能減少使用的次數,減少出現意外之後的損失,防止一軍潰敗,全軍覆沒。
#Javascricpt, XSS, 釣魚, 漏洞, 資安
https://xz.aliyun.com/t/2322
攻擊以及偽裝流程分析:
1.功能變數名稱偽裝
2.借助大廠漏洞
3.標題以及跳轉的偽裝
4.稍作修改的登錄介面
5.對惡意程式碼的運行環境做了嚴格的限制
6.下線網頁銷聲匿跡
總結一下幾點:
1.絕不要輕易點開或者相信不明來源或者稀奇古怪的連結,特別要注意點短功能變數名稱,這是常見的偽裝手段。
2.絕不要在不確定真實性的地方輸入你寶貴的密碼。
3.不要輕易掃描來源不明的二維碼(我發現目前這一釣魚已經變異出了二維碼的版本,可以說更加隱蔽)
4.釣魚頁面的設置往往存在功能性的缺失,比如修改密碼其實是點不了的,可以先簡單的測試一下。
5.一定要確定當前訪問的頁面的網址究竟是什麼,不明網站不要相信,即使是知名網站也不能輕易相信,就像我分析的這個攻擊就是利用用戶對知名網站的充分的信任(總之,明明不是你主動訪問的網站卻出現在你的URL中肯定是可疑的)
6.一個密碼盡可能減少使用的次數,減少出現意外之後的損失,防止一軍潰敗,全軍覆沒。
#Javascricpt, XSS, 釣魚, 漏洞, 資安
留言
張貼留言