关于”Surf Jacking”的修正分析和一些细节问题
作者:axis
今天晚些时候看到木瓜在blog中指出我前篇文章里提到的局限性不存在的问题,我又重新做了几次测试,发现确实是这么回事,但是这里还有些细微的地方需要明晰一下。
首先,因为cookie是只针对域的,和是否是http还是https无关(除了cookie标记为 secure flag),所以即便是目标网站全站都使用了https,我们也可以通过伪造http请求来欺骗浏览器,让浏览器发送cookie。
阅读全文 »
作者:axis
今天晚些时候看到木瓜在blog中指出我前篇文章里提到的局限性不存在的问题,我又重新做了几次测试,发现确实是这么回事,但是这里还有些细微的地方需要明晰一下。
首先,因为cookie是只针对域的,和是否是http还是https无关(除了cookie标记为 secure flag),所以即便是目标网站全站都使用了https,我们也可以通过伪造http请求来欺骗浏览器,让浏览器发送cookie。
阅读全文 »
作者:cnqing
刚刚读完大风的《又一个猥琐的技巧:Surf Jacking》,里面讲到如何嗅探https中的cookie,当然直接嗅探https内容是不可能的,文中的技巧是让被劫持主机由访问https 强行跳转到http页面,从而实现抓取明文的cookie。在最后文章提到了一个局限性:
“这种攻击也是具有 局限性的。因为他要求能够在目标网站的域下存在一个能够用http访问的页面,可以是图片或者是css之类,如下:”
实际上这个局限性是不存在的,因为可以劫持上行流量和修改下行数据了。那么我们同样可以欺骗被劫持主机认为服务器存在 http服务。
阅读全文 »
作者:axis
这个技巧是今天EnableSecurity发出来的。
前提条件是能够截获流量。具体来说,就是能监听上行流量,可以修改下行流量。方法可以通过arp欺骗、DNS欺骗、无线监听等实现。
有的人可能会说,都能截获流量了,还有什么不能做的。
确实,能够监听和篡改流量了,就可以做很多事情,比如修改软件自动升级的2进制包,可以arp挂马,可以插入跨站脚本,可以做SSL中间人攻击。
但是我们这里讨论的是威胁。直接挂马或者篡改升级软件,可能会受到种种环境的限制,也有一定的成功率。而SSL中间人攻击,则会跳出一个证书已改变的提示。
阅读全文 »