Tag Archives: phishing

社交工程演練網站 CuttlePhish

在 Hacker News Daily 上看到的服務:「CuttlePhish」。 CuttlePhish 是個社交工程演練網站,提供演練測試 (Phishing as a Service),付費的方式也很有趣: Twenty bucks, for up to 100 users. We charge per-batch of emails, (not per-email or per-click). You only pay if somebody clicks one of the links in our emails. … Continue reading

Posted in Cloud, Computer, Mail, Murmuring, Network, Security, Spam | Tagged , , , , , , , | Leave a comment

擋 Open Redirect 的問題...

Open Redirect 的問題可以參考: CWE-601: URL Redirection to Untrusted Site ('Open Redirect') Open redirect 這兩個連結。主要是要避免 phishing 的問題上。 一開始是以「只允許 / 開頭」為條件過濾,但 protocol-relative 的 //www.example.com 可以繞開。 如果變成「只允許 / 開頭,但不允許 // 開頭」,是不是就沒事了呢? 在「Evolution of Open Redirect Vulnerability.」這邊又看到新招:「/\www.example.com」。 想要用 parse_url() 檢查?沒問題: $ php -a Interactive … Continue reading

Posted in Browser, Computer, GoogleChrome, IE, Murmuring, Network, Programming, Security, WWW | Tagged , , , , , , | Leave a comment