当前位置：首页 » 软件开发

开发技术指南» 文章正文

    引言： Web欺骗是一种具有相当危险性且不易被察觉的黑客攻击手法，一般意义上讲，也就是针对浏览网页的个人用户进行欺骗，非法获取或者破坏个人用户的隐私和数据资料。

 

 

网站浏览安全细细谈
上一页   ...因为你相信你所访问的web页面就是你所需要的银行的web页面.无论是页面的外观布局.图片标识.链接地址,文字内容还是其它一些相关内容,都让你感到非常熟悉,没有理由不相信.但是,你确实是处在攻击者建立的伪造页面中. 二.实施过程 1.诱使用户进入攻击者控制的中间服务器 攻击者在web服务器需要提供关于某个web站点的错误web页面时,他只需要在自己的服务器上建立一个该站点的拷贝,而不必存储整个真实服务器站点的内容,然后改写这个拷贝中所有的链接获得真实服务器上的所有页面镜像. 首先,攻击者改写拷贝中所有链接地址(url),使它们指向了攻击者的服务器而不是真正的服务器.假定攻击者所处的web服务器是www.???.com,攻击者通过在所有链接前增加www.???.com来改写url.例如,abc.efg.com将变为www.???.com/ abc.efg.com.当用户点击改写过的abc.efg.com,进入的确是:www.???.com,然后由该中间服务器向abc.efg.com发出请求并获得真正的文档,然后改写文档中的所有链接,最后经过http://www.???.com返回给用户的浏览器. 可见,用户通过改写后的链接登录目标站点时,实际上先是经由中间服务器,然后才向目标服务器请求文档,而目标服务器返回的文档必须经由中间服务器,改写所有链接后才传回给用户浏览器.很显然,修改过的文档中的所有url都指向了www.???.com,当用户点击任何一个链接都会直接进入这个页面,而不会直接进入真正的网站.只要用户由此进入其它网页,那么他们是永远不会摆脱掉受攻击的可能的. 伪造网页中的表单,如果被填写就构成了表单欺骗,同样神不知鬼不觉.表单的确定信息被编码到链接地址行中,内容会以html形式返回.前面讲到,所有页面的url都已经被改写,那么表单欺骗将是很自然的事情了. 当受攻击者提交表单后,所提交的数据进入了攻击者的服务器.攻击者的服务器能够观察,甚至是修改所提交的数据.同样地,在得到真正的服务器返回信息后,攻击者将向受攻击者返回信息. 2.发布欺骗页 web攻击者必须设法引诱用户去访问并点击他设定的web陷阱,黑客往往使用下面几种方法: (1)把错误的web链接放到一个热门web站点上; (2)如果受攻击者使用基于html的邮件,通过电子邮件发送伪造的web页面给用户; (3)创建错误的web索引,指示给搜索引擎; (4)在网络公众场合,如bbs.oicq,论坛或聊天室散播包含错误链接的网站网址.
...   下一页

» 本期热门文章：

· 热门栏目：

» 相关精选文章

» 其它相关：