顯示廣告
隱藏 ✕
※ 本文為 dinos 轉寄自 ptt.cc 更新時間: 2019-08-16 16:02:56
看板 NetSecurity
作者 CMJ0121 (不要偷 Q)
標題 [閒聊] 關於釣魚 (?) 網頁
時間 Tue Aug 13 00:05:30 2019


剛剛某位大大貼了篇新聞[0] 給我  問我關於釣魚(?)網站的問題

其實如果把問題反過來說  應該就比較容易理解了



假若你是個工程師  需要替目標使用者正在瀏覽的網站  塞入額外的廣告

這時候有哪些作法 ~

對於使用者看到的網頁來說  絕大多數都屬於 DOM[1]

每一個元素跟操作  或多或少都會跟 DOM 扯上關係 (我想不到完全沒有的例子...)

因此塞入額外的廣告  這個問題等價於塞入額外的 DOM

針對塞入 DOM 又可以分為兩種方式:替換原本的 DOM 以及塞入新的 DOM 元件




## 替換 ##
替換原本的 DOM 也就是顯示預期以外的內容

舉個例子來說 <img src='http://example.com/sample.png' />  就是用來顯示一個 PNG 檔案

假若可以替換 src 的內容  就可以做到替換 DOM 的目的

替換 http://example.com/sample.png 的內容方法  最簡單的有兩種


- DNS Spoofing / DNS Poisoning [2]  透過污染 DNS Server 導致連接到不正確的伺服器
- Router hijack                     直接掌控你的 router 讓連到目的 IP 直接被替換



## 塞入 ##
塞入 DOM 還有另外幾種方式  最簡單的方式則是塞入惡意的 JavaScript

跟替換 DOM 一樣  藉由替換掉原本的 JavaScript 而載入惡意的程式碼

攻擊者就可以任意掌控 DOM



另外一種方式則是透過 XSS  直接執行惡意的 JavaScript 套件

或者利用進階的 opener 特性  將 XSS 指令傳遞到其他執行的分頁翁




~ 以下歡迎大家討論各種實作方式 ~



[0]: https://news.cts.com.tw/cts/life/201908/201908111970882.html
點網頁出現釣魚頁面怎解決?聽專業駭客解釋... - 華視新聞網
[圖]
許多iPhone手機使用者今(11)日都發現,點開Google或是網站頁面都會跳轉到另一個「釣魚網站」,Dcard和巴哈姆特都有網友po文哀嚎「跳出可以獲得禮物」的網頁,並強制要求點選,怎麼按也按不掉... ...

 
[1]: https://developer.mozilla.org/zh-TW/docs/Web/API/Document_Object_Model
文件物件模型 (DOM) - Web APIs | MDN
[圖]
文件物件模型(Document Object Model, DOM)是 HTML、XML 和 SVG 文件的程式介面。它提供了一個文件(樹)的結構化表示法,並定義讓程式可以存取並改變文件架構、風格和內容的方法。DOM 提供了文件以擁有屬性與函式的節點與物件組成的結構化表示。節點也可以附加事件處理程序 ...

 
[2]: https://en.wikipedia.org/wiki/DNS_spoofing

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 106.1.224.240 (臺灣)
※ 文章代碼(AID): #1TKOvDzB (NetSecurity)
※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1565625933.A.F4B.html
st1009: 推推1F 08/13 09:12

--
※ 看板: dinos 文章推薦值: 0 目前人氣: 0 累積人氣: 136 
分享網址: 複製 已複製
guest
x)推文 r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇