針對使用者的資安攻擊
輸入包含 DOM 範疇的焦點、鍵盤、滑鼠與指標、表單、IFrame。
此子議題,以 IFrame 作為描述攻擊過程的例子,身為 DOM 紀錄功能的網頁實例,其遍覽 DOM 內部所有頁框,試著掛鉤 SOP 的每個 IFrames,作為掛鉤的源頭。
這意味著,針對掛鉤住的任何子頁框而言,其包含 DOM 事件紀錄。此 code 展示了利用函數建立起掛鉤子腳本元素的目的,最後利用迴圈遍覽每一個 IFrames 或是 ChildFrames,並附加腳本 Script 至頁框的 Body 中。
https://github.com/QueenieCplusplus/ITsec_UsersBehalf/blob/master/Hooker.js
社交工具包含視窗、全螢幕、UI、Phishing、偽造電子簽章、偽造軟體更新。
此子議題,以 Gmail 的 Phishing 作為描述攻擊過程的例子,這類動態的、內嵌的 Phishing,其攻擊腳本範例情詳 code。
https://github.com/QueenieCplusplus/ITsec_UsersBehalf/blob/master/Phishing.js
利用 cookie 追蹤 session,對瀏覽器暫存的潛在持續的個人訊息進行擷取 (包含攝影機、麥克風、密碼管理器)。
即便使用者清除 cookie,或是對某些網頁禁止使用 cookie,然而駭客依然能在 Evercookie 程式庫找到會話識別符的永久儲存庫。
https://github.com/QueenieCplusplus/ITsec_UsersBehalf/blob/master/getSessionOrCookie.js
除了 HTTP cookies,尚有其他儲存來源,這些遺跡就是根據網路活動會遺留在曾經訪問的網站中,提供了駭客很好的追蹤線索。
-
HTML5 儲存區
-
Local Shared Objects
-
Silverlight 儲存區 || IE userData 儲存區