“箐茗”通过精心收集,向本站投稿了6篇实例:揭露伪装Skype的网络钓鱼骗局WEB安全,下面小编为大家带来整理后的实例:揭露伪装Skype的网络钓鱼骗局WEB安全,希望能帮助大家!
- 目录
篇1:实例:揭露伪装Skype的网络钓鱼骗局WEB安全
近日,同事的Skype频繁的遭到网络钓鱼的骚扰,笔者想到近期在网络上盛行的钓鱼欺骗行为,决定通过实例揭露钓鱼欺骗的本质,让我们一起对钓鱼欺骗说“不”,稍微留心的用户可能已经发现,钓鱼欺骗最近在各安全频道的暴光率一直很高,从eBay的用户数据泄密,到MSN出现的新钓鱼欺骗,以及曾经引起网银用户高度关注的伪装几大银行的钓鱼网站,这一切都在向我们预示,钓鱼欺骗已经成为网络犯罪分子用来窃取用户敏感信息的主要手段之一。
网络钓鱼起源于左右, 起初利用电子邮件作为诱饵,盗用美国在线的帐号和密码,后来鉴于最早的 是用电话线作案,所以 们常常用Ph来取代f,就形成了今天的Phishing一词。
“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会因为钓鱼网站的诱导而泄露自己的财务数据,如信用卡号、账户用户名、口令等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌。据统计,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。另外最近还出现了的通过手机短信、QQ、MSN、Skype进行各种各样的“网络钓鱼”不法活动。
下面以同事在skype上收到的钓鱼欺骗为例,详细为用户讲解钓鱼欺骗的本质。钓鱼网站的页面如图1
图1
用户可能第一眼从爷面上很难区分是否为钓鱼网站,但是眼尖的用户马上可以发现其域名并不符合命名规则(图2),国内著名的tom网站怎么可能做二级页面呢?
图2
假如用户在任何时候遇到一个主流网站做了二级什么更多级页面时,我们就应该警惕,这可能就是钓鱼欺骗。这时让我们来看点击右键会发生什么状况,如图3。
图3
我们看到右键菜单已经被屏蔽,出现的是一个内容为“skype公司 版权所有!”的消息框,
类似的情况在主流门户网站是肯定不会出现的,用户此时应该更加提高警惕。我们点击“进入活动详情”,进去看看究竟吧!出现我们面前的是如图4的页面。
图4
来到这个页面,我们可以发现更多的疑点,首先作为tom这种门户站,不可能出现页面文字超出边框的情况;其次用户可以发现页面留的查询电话并不是任何正规的免费查询号码(图5)。
图5
这个号码是不是别有用心?0898海南的区号为什么要分开写?这不能不让人怀疑。这里一个有安全意识的用户,其实应该马上意识到,这就是钓鱼站点。为了揭示骗子的本质,笔者继续下去。笔者通过朋友提供的验证码(sky05036),我们去看看最后还会出现什么骗局。如图6,笔者随便输入一串数字,然后用前面提到的验证码来看看可以看到什么。
图6
我们来看一下,下面会发生什么样的情况。如图7
图7
竟然成功了!这样都能得到28000元的笔记本?笔者当时狂晕!这里任何有安全常识的人应该可以确信这就是钓鱼网站,但我们还是来看看钓鱼的人都想说些什么吧。如图8
图8
办理领取手续说明:您需要先填写好您的资料表格,确认您的身份,并按规定办理相关手续,才能正规领取奖品,谢谢!
办理奖品手续说明:本次活动公司将收取¥840.00元作为手续费及关税,包括EMS邮寄特快费用及您办理转帐奖金,本公司不获取利润,所收取的金额是办理奖品所需要的,费用将不在奖金里扣除,本公司不为领取奖品的任何费用负责,办理手续只要将手续费¥840.00元人民币汇款至本公司的指定的帐户并且与客服热线联系进行核对确认即可.
注:¥840.00元包括奖品EMS邮寄特快费以及办理奖金领取工本费.请您填写表格后按规定进行办理手续,谢谢!特别声明:此次活动是由TOM-skype科技有限公司(中国北京分公司)举办,已通过北京市公证处公证审批.幸运用户可以放心的按照系统规定办理程序领取奖品的有关手续,此次活动最终解释权归TOM-skype中国北京有限公司所有. 这里笔者可以很负责的告诉用户,任何正规网站都不会以任何形式来向用户索要手续费。用户切记不要因为贪图小便宜,而造成自己的财产损失。
篇2:新型反网络钓鱼系统WEB安全
网界网消息 卡耐基-梅隆大学的一名教授和两名学生开发了一种软件,这个软件意在通过捆绑移动设备来防止 Web 用户进入钓鱼网站,
据该大学官员说,这种被称作“Phoolproof 钓鱼预防”系统的软件通过使用第三方认证器(即移动电话或PDA)在用户浏览器和网站间建立起牢靠的认证机制。其原理是防止 Web 用户登录到佯装成金融机构或零售店的欺诈性网站并向其提供敏感信息或金融资料,
对于用户指定的每个在线账号,系统利用 SSL 存储一个密匙到移动设备上。当用户希望访问其中某个网站时,他或她在移动设备浏览器中选择收藏的安全网站,随后在用户的 PC 上就会启动一个浏览器窗口。PC 会收到网站的证书并将其转发给移动设备,接着由移动设备对其进行验证后再与用户的证书一起发送出去。
随后,用户通过 PC 浏览器用用户名和密码登录到网站上。 网站的服务器对用户的用户名、密码和证书进行验证,然后授予用户访问网站的权限。
系统研究者称之为将移动设备变成“安全的电子钥匙圈”,并且即使设备出现问题,Web 账号仍然不能访问,因为除了证书外,还需要正确的登录用户名和密码。
研究者开发的原型系统目前已投入使用,他们希望尽快开发出更完善的系统
篇3:实例讲解如何防止网络钓鱼
Judy Bodmer是美国一位知名作家,以下就是她的亲身经历,
实例讲解如何防止网络钓鱼
,
Judy Bodmer:最近,我收到一个朋友的邮件,他要求我更新我的联系资料。因为我认识他已经很久了,我毫不犹豫地照做了:登陆网站-填写表格-然后按下一步-刷新至下一页面。令我惊讶的是,我成为了Plaxo
篇4:伪装nginx版本防止入侵web服务器WEB安全
为了防止被 扫描到web服务器信息,通过相对应的web服务器信息找出对应的版本漏洞,从而对web服务器进行入侵,nginx虽然功能强大,但是也是软件,软件就可能会有漏洞,例如nginx-0.6.32版本,默认情况下可能导致服务器错误的将任何类型的文件以php的方式进行解析,比如上传一个jpg格式的木马到论坛网站,通过漏洞解析成一个php的webshell,从而入侵获得服务器的权限,这将导致严重的安全问题,使得 可能攻陷支持php的nginx服务器,如果暴漏了nginx版本而且该版本又存在安全漏洞那么你的web服务器肯定危在旦夕了。
针对于nginx服务器,可以修改源码中关于nginx的header描述信息,以下以nginx-1.2.0版本为例。
[root@www nginx-1.2.0]# cd src/core/[root@www core]# vim nginx.h -------编辑nginx.h文件
/** Copyright (C) Igor Sysoev* Copyright (C) Nginx, Inc.*/#ifndef _NGINX_H_INCLUDED_#define _NGINX_H_INCLUDED_#define nginx_version 1002000#define NGINX_VERSION “2.2.2” //默认为1.2.0#define NGINX_VER “Apache/” NGINX_VERSION //默认为Nginx#define NGINX_VAR “NGINX”#define NGX_OLDPID_EXT “.oldbin”#endif /* _NGINX_H_INCLUDED_ */
然后进行正常编译完成安装,
测试效果
使用强大的nmap扫描主机
使用curl获取http请求信息
或者访问一个不存在的URL也可以查看到效果
可以看到无论是用nmap扫描主机还是用curl获取对网站http报文的请求信息甚至是访问请求一个不存在的url都会显示web服务器使用的是Apache2.2.2版本,从而隐藏了我们真实web服务器版本即nginx-1.2.0版本,当然这里可以伪装为IIS、Lighthttp、Tengine甚至是自定义的名字都可以,总之迷惑了入侵者的思路,保护了web服务器的安全。
补充:有朋友留言给我,说404页面还是显示出nginx的风格,那就修改默认404页面吧
在nginx.conf中增加如下内容指定404页面路径(/usr/local/nginx/html)
error_page 404 /404.html;location = /404.html {root html;}
重新加载配置文件
/usr/local/nginx/sbin/nginx -s reload
任意访问一个不存在的页面,就可以看到效果了!
篇5:PHP安全防护web攻击实例介绍
网络安全是目前互联网的热门话题之一,作为个人用户的我们同样需要关注,做好防护。常见的Web攻击分为两类:一是利用Web服务器的漏洞进行攻击,如CGI缓冲区溢出,目录遍历漏洞利用等攻击;二是利用网页自身的安全漏洞进行攻击,如SQL注入,跨站脚本攻击等。下面这篇文章主要介绍了PHP安全防护之Web攻击,需要的朋友可以参考,下面来一起看看吧。
SQL注入攻击(SQL Injection)
攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。
常见的SQL注入式攻击过程类如:
1.某个Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码;
2.登录页面中输入的内容将直接用来构造动态的SQL命令,或者直接用作存储过程的参数;
例如:
$query = 'SELECT * from Users WHERE login = ' . $username . ' AND password = ' . $password;
3.攻击者在用户名字和密码输入框中输入'或'1'='1之类的内容;
4.用户输入的内容提交给服务器之后,服务器运行上面的代码构造出查询用户的SQL命令,但由于攻击者输入的内容非常特殊,所以最后得到的SQL命令变成:
SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1';
5.服务器执行查询或存储过程,将用户输入的身份信息和服务器中保存的身份信息进行对比;
6.由于SQL命令实际上已被注入式攻击修改,已经不能真正验证用户身份,所以系统会错误地授权给攻击者。
如果攻击者知道应用会将表单中输入的内容直接用于验证身份的查询,他就会尝试输入某些特殊的SQL字符串篡改查询改变其原来的功能,欺骗系统授予访问权限。
系统环境不同,攻击者可能造成的损害也不同,这主要由应用访问数据库的安全权限决定。如果用户的帐户具有管理员或其他比较高级的权限,攻击者就可能对数据库的表执行各种他想要做的操作,包括添加、删除或更新数据,甚至可能直接删除表
防范方法:
1.检查变量数据类型和格式
2.过滤特殊符号
3.绑定变量,使用预编译语句
跨网站脚本攻击(Cross Site Scripting, XSS)
攻击者将恶意代码注入到网页上,其他用户在加载网页时就会执行代码,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。这些恶意代码通常是JavaScript、HTML以及其他客户端脚本语言。
例如:
echo “欢迎您,”.$_GET['name'];
如果传入一段脚本 ,那么脚本也会执行。用这样的URL将会执行JavaScript的alert函数弹出一个对话框:常用的攻击手段有:
盗用cookie,获取敏感信息;
利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作;
利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动;
在访问量极大的一些页面上的XSS可以攻击一些小型网站,实现DDoS攻击的效果。
防范方法:使用htmlspecialchars函数将特殊字符转换成HTML编码,过滤输出的变量
跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)
攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网站执行此请求后,引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接,让目标用户在不注意的情况下单击这个链接,由于是用户自己点击的,而他又是合法用户拥有合法权限,所以目标用户能够在网站内执行特定的HTTP链接,从而达到攻击者的目的。
它与XSS的攻击方法不同,XSS利用漏洞影响站点内的用户,攻击目标是同一站点内的用户者,而CSRF 通过伪装成受害用户发送恶意请求来影响Web系统中受害用户的利益。
例如:
某个购物网站购买商品时,item参数确定要购买什么物品,num参数确定要购买数量,如果攻击者以隐藏的方式发送给目标用户链接
,那么如果目标用户不小心访问以后,购买的数量就成了100个
防范方法:
1、检查网页的来源
2、检查内置的隐藏变量
3、使用POST,不要使用GET,处理变量也不要直接使用$_REQUEST
相关阅读:2018网络安全事件:
一、英特尔处理器曝“Meltdown”和“Spectre漏洞”
1月,英特尔处理器中曝“Meltdown”(熔断)和“Spectre” (幽灵)两大新型漏洞,包括AMD、ARM、英特尔系统和处理器在内,几乎近发售的所有设备都受到影响,受影响的设备包括手机、电脑、服务器以及云计算产品。这些漏洞允许恶意程序从其它程序的内存空间中窃取信息,这意味着包括密码、帐户信息、加密密钥乃至其它一切在理论上可存储于内存中的信息均可能因此外泄。
二、GitHub 遭遇大规模 Memcached DDoS 攻击
202月,知名代码托管网站 GitHub 遭遇史上大规模 Memcached DDoS 攻击,流量峰值高达1.35 Tbps。然而,事情才过去五天,DDoS攻击再次刷新纪录,美国一家服务提供商遭遇DDoS 攻击的峰值创新高,达到1.7 Tbps!攻击者利用暴露在网上的 Memcached 服务器进行攻击。网络安全公司 Cloudflare 的研究人员发现,截止2018年2月底,中国有2.5万 Memcached 服务器暴露在网上 。
三、苹果 iOS iBoot源码泄露
2018年2月,开源代码分享网站 GitHub(软件项目托管平台)上有人共享了 iPhone 操作系统的核心组件源码,泄露的代码属于 iOS 安全系统的重要组成部分——iBoot。iBoot 相当于是 Windows 电脑的 BIOS 系统。此次 iBoot 源码泄露可能让数以亿计的 iOS 设备面临安全威胁。iOS 与 MacOS 系统开发者 Jonathan Levin 表示,这是 iOS 历史上最严重的一次泄漏事件。
四、韩国平昌冬季奥运会遭遇黑客攻击
2018年2月,韩国平昌冬季奥运会开幕式当天遭遇黑客攻击,此次攻击造成网络中断,广播系统(观众不能正常观看直播)和奥运会官网均无法正常运作,许多观众无法打印开幕式门票,最终未能正常入场。
五、加密货币采矿软件攻击致欧洲废水处理设施瘫痪
2018年2月中旬,工业网络安全企业 Radiflow 公司表示,发现四台接入欧洲废水处理设施运营技术网络的服务器遭遇加密货币采矿恶意软件的入侵。该恶意软件直接拖垮了废水处理设备中的 HMI 服务器 CPU,致欧洲废水处理服务器瘫痪 。
Radiflow 公司称,此次事故是加密货币恶意软件首次对关键基础设施运营商的运营技术网络展开攻击。由于受感染的服务器为人机交互(简称HMI)设备,之所以导致废水处理系统瘫痪,是因为这种恶意软件会严重降低 HMI 的运行速度。
web攻击
篇6:网络欺骗之 (图)WEB安全
是近期比较火热的项目之一,它的功能主要有如下几点:
1.省漫游费、省长途费(0.1元/分钟)
2.无需改变手机任何部件,使您的普通手机马上升级成双模手机
3.网络互补,通话无盲区
4.成倍增加电话储存量
5.在线切换,护卡及延长手机使用寿命
看了以上几点,你感觉如何?是不是跟我一样,感叹于科学技术的进步,小小一张卡片,解决了数千元的难题,然而实际情况如何呢?近日,记者走访了中国移动本地办事处的程主任,他指出:一张卡运行两个同运营商的号是可能的,但一张卡使用两个不同运营商的号是绝不可能、也不允许的,
另外,据手机业内人士介绍,早在两年前的香港就出现了克隆卡,它通过破译SIM卡芯片内码,将两张SIM卡芯片内码重新烧制到一张新SIM卡上,然后通过软件实现不关机切换运营商。这种卡表面上看没什么问题,实际上毫无使用价值,因为一张卡具有两组内码,在登录网络时经常发生网络内呼叫信号紊乱的问题,看看倒是可以,用它你基本上别想正常打电话!
记者采访的周先生,讲述了他自己投资“魔卡”上当入局的故事。
读过北京XX机械制造有限公司网页上的宣传资料后,我确实激动万分,认为找到了一条致富之路,于是很快跟公司负责人黄某某联系上了,他告诉我当前全国70%的城市都有他们的代理,并说我市已有用户申请总代,不再考虑其他投资者,当时我大失所望,感慨于商机不再,
然而下午黄某某打来电话,说经过权衡,他们取消了本市那位总代,而重新考虑我的申请,不过需要在原有投资基础上增加两百元的“好处费”。我想多的都给了,也不在乎这两百元,于是一口答应。
到北京后得到了黄某某的接待,他出示了公司的合法经营执照,并拿出自己的手机演示了一下,我看见屏幕上“中国移动”的字样变成了“中国联通”,随后他还分别用两个号码拔通了旅馆电话号码。当问及是否会对手机产生不良影响时,他回答说,手机不变、号码不变、通信网络不变,不会对手机与SIM卡产生不良影响。
最后,我缴纳了加盟费,并带着刷卡器、电脑、样卡回到家乡。然而当我实际操作时,却发现无论如何也不能在一张卡上刷两个号码,即使偶尔刷成功了也只能在手机屏幕上显示“中国移动”或“中国联通”字样,而不能用刷的号码拔打电话。当我打电话到公司,黄某某说一定是我的操作有问题。来来去去打了几十个电话,最后他们干脆不接我的电话了,又跑了一趟北京,却找不到与我接洽的黄某某,称其出外跑市场去了。
编辑语:
按照规定,只有取得移动或联通许可的电信企业,才能为本企业手机用户制作并销售SIM卡,任何未取得经营许可的单位和个人,擅自制作、销售手机SIM卡都属违法。因此,大家不要轻易相信类似骗局。
★ 伪装初二作文
实例:揭露伪装Skype的网络钓鱼骗局WEB安全(精选6篇)
