※ 本文為 dinos 轉寄自 ptt.cc 更新時間: 2019-08-16 16:02:56
看板 NetSecurity
作者 標題 [閒聊] 關於釣魚 (?) 網頁
時間 Tue Aug 13 00:05:30 2019
剛剛某位大大貼了篇新聞[0] 給我 問我關於釣魚(?)網站的問題
其實如果把問題反過來說 應該就比較容易理解了
假若你是個工程師 需要替目標使用者正在瀏覽的網站 塞入額外的廣告
這時候有哪些作法 ~
對於使用者看到的網頁來說 絕大多數都屬於 DOM[1]
每一個元素跟操作 或多或少都會跟 DOM 扯上關係 (我想不到完全沒有的例子...)
因此塞入額外的廣告 這個問題等價於塞入額外的 DOM
針對塞入 DOM 又可以分為兩種方式:替換原本的 DOM 以及塞入新的 DOM 元件
## 替換 ##
替換原本的 DOM 也就是顯示預期以外的內容
舉個例子來說 <img src='http://example.com/sample.png' /> 就是用來顯示一個 PNG 檔案
假若可以替換 src 的內容 就可以做到替換 DOM 的目的
替換 http://example.com/sample.png 的內容方法 最簡單的有兩種
- DNS Spoofing / DNS Poisoning [2] 透過污染 DNS Server 導致連接到不正確的伺服器
- Router hijack 直接掌控你的 router 讓連到目的 IP 直接被替換
## 塞入 ##
塞入 DOM 還有另外幾種方式 最簡單的方式則是塞入惡意的 JavaScript
跟替換 DOM 一樣 藉由替換掉原本的 JavaScript 而載入惡意的程式碼
攻擊者就可以任意掌控 DOM
跟替換 DOM 一樣 藉由替換掉原本的 JavaScript 而載入惡意的程式碼
攻擊者就可以任意掌控 DOM
另外一種方式則是透過 XSS 直接執行惡意的 JavaScript 套件
或者利用進階的 opener 特性 將 XSS 指令傳遞到其他執行的分頁翁
~ 以下歡迎大家討論各種實作方式 ~
[0]: https://news.cts.com.tw/cts/life/201908/201908111970882.html
點網頁出現釣魚頁面怎解決?聽專業駭客解釋... - 華視新聞網
![[圖]]()
許多iPhone手機使用者今(11)日都發現,點開Google或是網站頁面都會跳轉到另一個「釣魚網站」,Dcard和巴哈姆特都有網友po文哀嚎「跳出可以獲得禮物」的網頁,並強制要求點選,怎麼按也按不掉... ...
![[圖]](https://news.cts.com.tw/photo/cts/201908/201908111970882_l.jpg)
文件物件模型 (DOM) - Web APIs | MDN
![[圖]]()
文件物件模型(Document Object Model, DOM)是 HTML、XML 和 SVG 文件的程式介面。它提供了一個文件(樹)的結構化表示法,並定義讓程式可以存取並改變文件架構、風格和內容的方法。DOM 提供了文件以擁有屬性與函式的節點與物件組成的結構化表示。節點也可以附加事件處理程序 ...
![[圖]](https://developer.mozilla.org/static/img/opengraph-logo.72382e605ce3.png){kind=logo}
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 106.1.224.240 (臺灣)
※ 文章代碼(AID): #1TKOvDzB (NetSecurity)
※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1565625933.A.F4B.html
推 : 推推1F 08/13 09:12
--
※ 看板: dinos 文章推薦值: 0 目前人氣: 0 累積人氣: 131
回列表(←)
分享