Tag Archives: phishing

瀏覽器 UI 的死亡線

作者 Eric Lawrence 現在在 Google Chrome team 裡,寫了一篇文章講到瀏覽器上 UI 設計與安全性的問題:「The Line of Death」。 從一開始會假設紅線以上是可信任的: 後來有些操作跨過這條線 (左邊),於是就開始有很 tricky 的方法 (右邊): 甚至反過來利用 icon 讓使用者誤會是表示有訊息要通知使用者: 另外是直接惡搞,假裝是另外一個視窗: 最新的方法是利用 HTML5 的 Fullscreen API 直接搞定所有事情: 花樣愈來愈多了...

Posted in Browser, Computer, GoogleChrome, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , | 3 Comments

利用隱藏的 form input 加上自動完成功能取得敏感資料

anttiviljami/browser-autofill-phishing 這邊示範了怎麼用隱藏的 form input 與自動完成功能取得敏感資料。在這邊可以看到示範 (把 POST 丟到 httpbin 上看 response)。 想法不算困難,但好像也不是很好防... 關掉 autofill 是比較簡單的解法 (我是裝好瀏覽器就會關掉,不過好像很多人都喜歡用這個功能),所以這個問題就丟回給這些 browser vendor 想了 :o

Posted in Browser, Computer, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , , | Leave a comment

社交工程演練網站 CuttlePhish

在 Hacker News Daily 上看到的服務:「CuttlePhish」。 CuttlePhish 是個社交工程演練網站,提供演練測試 (Phishing as a Service),付費的方式也很有趣: Twenty bucks, for up to 100 users. We charge per-batch of emails, (not per-email or per-click). You only pay if somebody clicks one of the links in our emails. … Continue reading

Posted in Cloud, Computer, Mail, Murmuring, Network, Security, Spam | Tagged , , , , , , , | Leave a comment

擋 Open Redirect 的問題...

Open Redirect 的問題可以參考: CWE-601: URL Redirection to Untrusted Site ('Open Redirect') Open redirect 這兩個連結。主要是要避免 phishing 的問題上。 一開始是以「只允許 / 開頭」為條件過濾,但 protocol-relative 的 //www.example.com 可以繞開。 如果變成「只允許 / 開頭,但不允許 // 開頭」,是不是就沒事了呢? 在「Evolution of Open Redirect Vulnerability.」這邊又看到新招:「/\www.example.com」。 想要用 parse_url() 檢查?沒問題: $ php -a Interactive … Continue reading

Posted in Browser, Computer, GoogleChrome, IE, Murmuring, Network, Programming, Security, WWW | Tagged , , , , , , | Leave a comment