喜欢CSI-Cyber的朋友大家好 我们是ISDA(台湾资讯安全联合发展协会) 为了要让更多人了解资讯安全，除了基础资讯安全教育训练以外 我们将针对CSI-Cyber 系列里面会提到的技术作一系列的资讯安 也欢迎认同我们的朋友给我们一 到我们的ＦＢ粉丝页按个赞加分享 https://www.facebook.com/ISDA. ---------------------------废话分隔线------------------------- 图文好读版 https://www.isda.org.tw/index.php/2018/07/13/csi-cyber-s01e10/ [撰文/Leaf] 前情提要： 故事发生在俄亥俄州的一间小咖啡店，一位中年男子买完咖啡过马路时，神 智开始有点不清，霎那间被急驶而过的车子撞上。警方调查後发现，死者在 医疗网站购买到伪药，同时网站上也发现被嵌入了假广告，这些疑点让FBI推 测，某个犯罪组织利用恶意广告，让民众点击进入钓鱼网站购买他们制造的 伪药。 哈罗！大家好...首先小编在这里先跟大家道歉，过那麽久时间才将这篇文章 生出来，这段时间我在干嘛呢？ CSI Cyber影片中的确有许多地方为了剧情和张力，填充了大量的戏剧效果， 有些科技...小弟我真的孤陋寡闻没有看过，不过影片中这个先进技术我可是 常常看到。 ......在钢铁人系列电影中XD (图/钢铁人) 撇开这些电影效果来看，里头还是有许多技术细节和情境值得学习及思考， 挺有趣的！ 大家听过ClickJacking(点击劫持)吗？我先带大家了解一下浏览器的原理吧 ！ 1. 探索网页的婴儿模样 首先网页架构分为前端跟後端，浏览器能看到的地方就叫前端，负责将後端 程式传过来的网页原始码，形成漂亮华丽的介面，大家可以按右键点选网页 原始码，看看网页的真实面貌究竟长怎样，它与你认知的有所差别喔！ 有些网站会不小心将敏感资讯，暴露在网页原始码里头。 後端的组成有两个，一个是网页伺服器，也就是下图中的Apache Server，另 一个就是架在伺服器上的php程式码，当浏览器(Browser)向Apache Server请 求网页时，这时後端程式(hello.php)，可以去资料库(Database)抓资料做处 理，也可以将使用者要的网页传回给浏览器。 (图/Html and JavaScript Mumbo Jumbo Part 2) Web安全领域也能依照前後端做区分，我们今天要谈到的都会是前端安全的部 分。 延伸阅读： [1] 撰写第一个 HTML 网页范例 - Wibibi [2] 制作一个钓鱼网站到底有多简单？ | 电脑故我在 [3] 国税局网站出大包，资安专家戏称「Hacker Friendly」 简单谈完网页和浏览器的关系，接下来我们来聊聊ClickJacking吧！ 2. 让人不知不觉的ClickJacking 剧中犯罪组织为了贩售伪药，将恶意广告嵌入医疗网站上，当受害者被诱使 点击进伪造的网站，後果不堪设想，受害者甚至不知道自己已经被钓鱼了， 现实中的攻击手法有过之而无不及，更让人难以察觉。 正常情况来说，浏览器显示的网页，应该是可以信任的，不被信任的情况有 两种： 全是假的，眼睛业障重 网页遭到骇客攻击，被窜改了 我们来看看这个网页，看起来很正常，画面非常乾净，对吧？！ 那......这个呢？ 看出来了吧！我将iframe嵌入的网页透明了，当你点击了Button，实际上会 点到iframe页面中的某个特定地方，眼睛业障真重啊。 要防御这类攻击的话，只需要设定X-Frame-Options就可以了。 延伸阅读： [1] 浅谈IFrame式Clickjacking攻击与防护 - 黑暗执行绪 [2] X-Frame-Options 回应标头 - HTTP | MDN [3] 白帽子讲Web安全 - 第五章：点击劫持(ClickJacking) 3. HTML注入窜改任意网站 小时候看新闻，常常听到什麽网页遭到骇客窜改，会觉得挺酷的，现在来看 ，会觉得如果只是恶作剧那还好，但如果是有心的利用，那就很恐怖了，譬 如说滑FB滑到一半，突然出现个假的登入视窗，或者像剧中插入一个假的广 告图片，这些都是有可能发生的。 除了直接攻破对方伺服器外，还有一个攻击手法可以做到，就是影片中提到 的HTML注入，也就是OWASP Top 10中的XSS Injection，两个其实是类似的东 西。 我们以PentesterLab做为测试平台，大家可以去官网下载ISO档来自己架设， 现实中最容易发生此漏洞的是留言板功能的网页，下图中透过设定name参数 的值，来决定显示的字串为何。 你可以输入Javascript语法或者HTML语法来注入，我们以HTML的方式来展示 剧中类似的结果。 在<a>标签中，设定href属性，让受骗者点击图片後进入钓鱼网站，<img>标 签中，设定style属性，决定图片要显示的位置及大小。 position: absolute; 让图片能够以绝对位置定位到要覆盖的项目上。 width: 100px; height: 100px; 将图片调整成和要覆盖的图片大小一样。 top: 0px; left: 0px; 设定图片放置的位置。 更进阶一点的话，就是目标网站做了一些防护，我们可以用怎样的方式绕过 ，我们这次以Javascript语法作为例子，注入後可以发现，<script>标签被 过滤掉了，Javascript语法无法奏效对攻击者来说是一个很大的困扰，因为 能做的事情就少了。 我们猜测目标网站可能只做一次的过滤，所以我们将<script>标签里头再包 一个，就像大肠包小肠一样，这是我注入的语法： <scri<script>pt>alert(1)</sc</script>ript>，当<script>和</script>被 过滤掉後，外面还有一层，如此一来就能成功构造一段合法的Javascript语 法。 延伸阅读： [1] 注入html源码到浏览器的几种方式 - CSDN博客 [2] 浅谈html转义及防止javascript注入攻击 - CSDN博客 [3] HTML注入 - 简书 最後这一期的看电影学资安就到这边啦！本篇从最基本的网页原理开始谈起 ，再谈到web客户端安全，尽可能呈现一个比较完整的内容给大家，希望阅读 此篇的人都能了解更多关於web安全的资安知识。 ------------------------------------------------------------ 我们是ISDA(台湾资讯安全联合发展协会)。 为了要让更多人了解资讯安全，除了基础资讯安全教育训练以外，我们将针 对影集里面会提到的技术作一系列的资讯安全解说。欢迎认同我们的朋友给 我们一点鼓励，到我们的FB粉丝页按个赞加分享。 https://www.facebook.com/ISDA.tw/ 有任何活动相关讯息，我们也会第一时间张贴在ISDA粉丝团喔！ --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 58.115.45.26 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1531470381.A.0EE.html