如何製作認證釣魚頁面？

Responde是一款強大並且簡單易用的內網滲透神器，使用它的「基本身份驗證」提示可以用來在Web瀏覽器中偶爾輸入無效域時竊取用戶憑據。

在之前的一篇文章中，我介紹了一款非常受歡迎的工具——Responder，它是一款強大並且簡單易用的內網滲透神器。使用它的「基本身份驗證」提示來在Web瀏覽器中偶爾輸入無效域時竊取用戶憑據。

應該說，Responder的方法是相當不錯的，它在捕獲和響應當前域的DNS請求時非常給力。但是經過一段時間的研究，我認為基本身份驗證的方法如果被用於網路釣魚，則攻擊效率更加突出。

我之所以最喜歡基本認證，就是因為從來沒有人知道誰在對你認證，認證在哪裡結束。這種認證的混亂通常會使用戶陷入簡單的網路釣魚攻擊，從而允許攻擊者輕鬆收集用戶登錄憑據。因為，一旦伺服器知道了用戶的身份，就可以判定用戶可以訪問事務和資源了；通常通過用戶名和密碼。

用戶應該能夠基於2個安全指標來確定基本身份驗證請求是否是真實的：

1.請求身份驗證的實體的IP地址或域，不過，這通常不能幫助用戶進行判別，因為攻擊者也可以註冊類似於可信域的域名。例如，當嘗試盜取targetdomain.com的憑據時，攻擊者可以註冊類似的域：

targetdomain.co/.net

target-domain.com

targetdomain-oauth.com

targetdomain-cdn.com

targetdomain-images.com

login-targetdomain.com

2. 」realm」認證參數，不過這是一個可以由攻擊者提供的任意字元串。根據上下文，簡單的字元串可能會欺騙用戶，讓用戶認為基本的身份驗證提示是真實的：

網路代理身份驗證要求；

長時間的沒有操作而退出登錄，如要再操作還需再次登錄。

說了這麼多理論，讓我舉幾個例子，其中基本的身份驗證提示可能真的讓用戶感到困惑。假設targetdomain.com是一個真正的網站，攻擊者可以簡單地註冊並控制target-domain.com，，一個可能會被一些用戶混淆的網站。

1.通過濫用HTML圖像標籤獲取基本身份驗證提示

如果攻擊者可以向網站添加HTML 圖像標籤，並引用攻擊者控制的域的圖像，則攻擊者可以在載入圖像之前強制執行基本驗證提示。以下有一個簡短的演示：

targetdomain.com/image.html是一個包含第三方網站圖片的網頁：target-domain.com。

Just a funny cat image

target-domain.com/basicauth.php是一個訪問後需要基本身份驗證的第三方頁面。

因此，由第三方網站上託管的圖像生成基本驗證提示。可以肯定的是，在基本認證提示中輸入的任何憑據將被發送到第三方網站。目前，基本身份驗證提示只存在於Firefox和IE上，而Chrome不會顯示。

2.打開URL時獲取基本身份驗證提示

如果攻擊者可以將HTML錨點添加到網站，並添加到第三方網站的鏈接，則攻擊者可以向第三方網站添加基本身份驗證，並在導航發生之前提示用戶。

targetdomain.com/link.html是一個包含指向第三方網站的鏈接的頁面：

A cool website you should visit: Click me!

因此，當主機頁面和URL仍然顯示給用戶時，基本身份驗證提示將顯示在載入新URL之前。基本認證提示只在Firefox和IE中顯示，而Chrome會在顯示之前卸載主機頁面並更新地址欄。

3.在新選項卡中打開URL時獲取基本身份驗證提示

如果導航發生在新選項卡中，則基本身份驗證提示可以通過利用window.opener來顯示在初始選項卡中。

targetdomain.com/newtab.html是一個包含將在新標籤頁中打開的鏈接的頁面：

Another cool website you should visit: Click me!

target-domain.com/landingpage.html是一個將使用者重定向到需要基本身份驗證網址的頁面：

Nothing here

因此，當主機頁面和URL仍顯示給用戶時，基本身份驗證提示將顯示在載入新URL的選項卡中。基本認證提示只在Firefox和IE中顯示，而Chrome在卸載主機頁面並更新地址欄之後，才會顯示基本認證提示。

4.獲取Word文檔中的基本身份驗證提示

如果文檔包含引用第三方網站的圖像模板，則基本身份驗證提示可能會出現在Word文檔中。這樣的文件可以通過電子郵件或公共網站向受害者提供，這對攻擊者來說非常方便。此外，使用Phishery可以自動創建這樣的WORD文檔的過程。

以上只是我碰到的一些實例，其中基本認證提示以令人困惑的方式顯示給最終用戶。這些例子都是在實際生活中隨處可見，比如博客，論壇，協作平台，電子學習平台都有允許用戶添加定製內容的選項，包括圖像和鏈接。任何帶有文本編輯器的網站，允許bb代碼(或類似的標記)很容易受到這樣的網路釣魚攻擊:

[img]http://target-domain.com/basicauth.php[/img]http://target-domain.com/basicauth.php[a]http://target-domain.com/basicauth.php[/a][url]http://target-domain.com/basicauth.php[/url]... and many more examples

防止此類攻擊的兩個方法如下：

1.不允許用戶到你的網站去添加圖像和鏈接；

2.可以過濾不需要的基本身份驗證提示，將所有外部資源與本地URL進行封裝(類似於Facebook的URL封裝)。

雖然第一個建議可能會超出許多網站的安全防護目的，但第二個建議可能很難在定製平台上實現和維護。

如果你想在這個問題上有更多了解，試著調查一下移動設備上發生的身份驗證行為。出於可用性的考慮，移動瀏覽器在安全性方面做了很多妥協，比如，允許更換地址欄中的URL的頁面標題，顯示SSL證書的細節，幾乎不會查看當前頁面的源碼等。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！