WEB欺骗技术浅析
(1)受害体
在web欺骗中我们把攻击者要欺骗的对象称为受害体。在攻击过程中,受害体被欺骗这是攻击者的第一步。攻击者想法设法欺骗受害体进行错误的决策。而决策的正确与否决定了安全性的与否。比如:当一个用户在Internet下载一个软件,系统的安全性告诉你,该网页有不安全控件是否要运行,这就关系到了用户选择是还是否的问题。而在安全的范围里,网页有可能的加载病毒,木马等。这是受害体决策的问题。在一个小小的例子我们不难看到受害体,在决定是否下载或者运行的时候,或许已经被欺骗。一种盗窃qq的密码的软件,当被攻击者安放在机器上的时候,和腾讯公司一样的图标,但是其程序却指象了在后台运行的盗窃软件。那么受害体往往很轻易的运行该软件,决策带来非安全性。
(2)掩盖体
在web欺骗中我们把攻击者用来制造假象,进行欺骗攻击中的道具称为掩盖体。这些道具可以是:虚假的页面,虚假的连接,虚假的图表,虚假的表单,等。攻击者竭尽全力的试图制造另受害体完全信服的信息。并引导受害体做一些非安全性的操作。当我们浏览网页,通常的网页的字体,图片,色彩,声音,都给受害体,传达着暗是信息。甚至一些公司的图形标志也给受害体早成了定视。你再看到“小狐狸”的图表的时候,不由的就想到了www.sohu.com站点。富有经验的浏览器用户对某些信息的反应就如同富有经验的驾驶员对交通信号和标志做出的反应一样。这种虚假的表象对用户来说同虚假的军事情报一样危害。攻击者很容易制造虚假的搜索。受害体往往通过强大的搜索引擎来寻找所需要的信息。但是这些搜索引擎并没有检查网页的真实性,明明表明着是:xxx站点的标志,但是连接决是yyy站点。而且yyy站点有着和xxx站点网页虚假的拷贝。
(3)欺骗目的
攻击者欺骗目的可以是很多。但是直接的目的是拿到用户的帐户和信息,甚至一些一些银行帐户和密码。例如,在访问网上银行时,你可能根据你所见的银行Web页面,从该行的帐户中提取或存入一定数量的存款。因为你相信你所访问的Web页面就是你所需要的银行的Web页面。欺骗银行帐户和密码就是攻击者的目的。
(4)欺骗结果
由于攻击者可以观察或者修改任何从受攻击者到Web服务器的信息;同样地,也控制着从Web 服务器至受攻击者的返回数据,这样攻击者就有许多发起攻击的可能性,包括监视和破坏。
攻击者能够监视受攻击者的网络信息,记录他们访问的网页和内容。当受攻击者填写完一个表单并发送后,这些数据将被传送到Web服务器,Web服务器将返回必要的信息,但不幸的是,攻击者完全可以截获并加以使用。大家都知道绝大部分在线公司都是使用表单来完成业务的,这意味着攻击者可以获得用户的帐户和密码。下面我们将看到,即使受攻击者有一个“安全”连接(通常是通过SecureSocketsLayer来实现的,用户的浏览器会显示一把锁或钥匙来表示处于安全连接),也无法逃脱被监视的命运。
在得到必要的数据后,攻击者可以通过修改受攻击者和Web服务器之间任何一个方向上的数据,来进行某些破坏活动。攻击者修改受攻击者的确认数据,例如,如果受攻击者在线订购某个产品时,攻击者可以修改产品代码,数量或者邮购地址等等。攻击者也能修改被Web服务器所返回的数据,例如,插入易于误解或者攻击性的资料,破坏用户和在线公司的关系等等。
3:web的攻击手段
(1)整个网页的假象
- 相关文章
- 最新文章
- 网络攻击概述[12-03]
- IP伪装法[12-03]
- 典型DoS攻击原理及抵御措施[12-03]
- 网络应用技巧与故障问答[12-03]
- Webmaster网络安全讲座:2.应用加..[12-03]
- Webmaster网络安全讲座:1.网络安..[12-03]