2917.W51 - Client-Side Attack > 已知用火 Part II ## 前言 ## 最近在練習的時候 發現 Cliend-Side Attack 這有點時間的技術 也發現這是個很 有(ㄨㄟˊ) 趣(ㄒㄧㄢˇ) 的攻擊技巧 在某些環境中 這類型的攻擊是無法避免 ## 內容 ## Client-Side Attack [0] 是相對於 Server-Side Attack 的一種方式 相對於直接攻擊目標、有目的性針對特定目標進行收集、攻擊與潛伏 Client-Side Attack 則是針對客戶端的應用程式來進行互動 也就是惡意的 Server (偽裝的 Server、受到攻擊的 Server) 傳統上的 Client-Side Attack 也就是網頁掛馬 [1] 也就是當駭客攻擊了一個正常的網頁伺服器後 在其中'掛上'惡意的程式碼 像是 XSS 等 等受害者瀏覽這網頁的同時則會受到攻擊 在某個時間點時 Flask[2] 相關的網頁掛馬開始盛行 各種類型的 Flask 0-Day 比春筍還要快的速度冒出 導致各大瀏覽起不再支援 Flash 而 Mac 在某個時間點之後也不再支援 Flash[3] 網頁掛馬隨著 Flash 慢慢消失 與 IE [5] 變成 Edge 一樣(?)開始式微 但在虛擬貨幣開始盛行之後 網頁掛馬從攻擊、潛伏轉變成挖礦、潛伏 各種網頁、廣告開始出現掛挖礦機[4]出現 另類的 Cliend-Site Attack 也出現新的契機 [0]: https://www.honeynet.org/node/157 [1]: https://ithelp.ithome.com.tw/articles/10000041 [2]: https://www.cvedetails.com/vulnerability-list/vendor_id-53/product_id-6761/Adobe-Flash-Player.html [3]: https://www.apple.com/hotnews/thoughts-on-flash/ [4]: https://coinhive.com/ [5]: https://docs.microsoft.com/en-us/security-updates/securitybulletins/2010/ms10-002 --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.193.122.171 ※ 文章網址: https://webptt.com/m.aspx?n=bbs/NetSecurity/M.1513691802.A.2E5.html