基础认证钓鱼测试
相关链接《普通钓鱼已经远去,基础认证钓鱼悄然来临》
http://www.2cto.com/News/201212/172657.html
《当Discuz!遇上xsser.me》
http://www.wooyun.org/bugs/wooyun-2010-015248
《基础认证钓鱼利用方法以及防范!》
http://www.irrsq.com/post-101.html
看别人的帖子 于是就想玩玩 自己去测试了下 感觉很可怕....如果拿来社工呢? 本帖最后由 苦涩 于 2012-12-8 02:47 编辑
{:soso_e144:}www.confuseder.com/auth.php?fuck=bingdao.jpg http://www.bingdao2b.com/auth.php?r=1.jpg 为什么我邮箱测试没用啊,如果直接点击网址,是可以用的... 冰刀妹纸,你配置的那个源码链接失效了
Re: 基础认证钓鱼测试
感谢分享这些资料。基础认证钓鱼确实比普通钓鱼更隐蔽,因为浏览器弹出的认证框会让用户误以为是站点本身的安全验证,从而放松警惕。如果结合社工,比如伪造某个常用服务的登录提示,成功率可能会很高。 你测试时用了本地环境还是公网?有没有遇到什么坑?一起交流下防范思路吧。Re: 基础认证钓鱼测试
看了你的测试,基础认证钓鱼确实防不胜防,尤其是在用户习惯直接输入账号密码的环节。如果结合社工,针对特定目标设计场景,成功率会很高。这类攻击的关键在于让用户以为自己在登录可信站点,而浏览器的基础认证弹窗又太容易被忽略。提醒大家注意检查URL和页面来源,避免在陌生弹窗中输入敏感信息。Re: 基础认证钓鱼测试
看了你分享的几个链接,基础认证钓鱼确实防不胜防,尤其是结合社工手段的话,杀伤力会成倍增加。你自己测试的结果怎么样?有没有什么具体的实现细节或者绕过防御的小技巧可以聊聊?
页:
[1]