IBM Security Appscan漏洞--通过框架钓鱼

最新推荐文章于 2024-08-09 08:35:54 发布
最新推荐文章于 2024-08-09 08:35:54 发布
阅读量6.4k 收藏 2
点赞数
分类专栏: 漏洞 文章标签: security 漏洞 网络钓鱼
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/super_man_x/article/details/50905169
版权
本文讨论了IBM Security AppScan检测到的一种漏洞,即通过框架进行网络钓鱼攻击。攻击者通过注入恶意的frame或iframe,伪装成合法实体诱使用户泄露敏感信息,如用户名、密码等。解决方案包括对用户输入的特殊字符进行处理,添加XSS过滤器以防止此类跨站脚本攻击。同时,提到了类似类型的其他漏洞,如链接注入和存储的跨站脚本编制。
摘要由CSDN通过智能技术生成

可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息
可能原因 :
未对用户输入正确执行危险字符清理
技术描述 :
网络钓鱼是一种社会工程技巧,其中攻击者伪装成受害者可能会与其进行业务往来的合法实体,以便提示用户透露某些机密信息(往往是认证凭证),而攻击者以后可以利用这些信息。网络钓鱼在本质上是一种信息收集形式,或者说是对信息的“渔猎”。
攻击者有可能注入含有恶意内容的 frame 或 iframe 标记。如果用户不够谨慎,就有可能浏览该标记,却意识不到自己会离开原始站点而进入恶意的站点。之后,攻击者便可以诱导用户再次登录,然后获取其登录凭证。
由于伪造的站点嵌入在原始站点中,这样攻击者的网络钓鱼企图就披上了更容易让人轻信的外衣。

解决办法:
对特殊字符进行处理,从前台-》后台-》前台,对数据进行处理。添加XSS过滤器,对所有从前台进入的参数进行过滤。
XSS过滤器:
http://blog.csdn.net/super_man_x/article/details/50905546
类似漏洞:

最低0.47元/天 解锁文章
Hi_YouXu
关注
专栏目录
appscan扫描 通过框架钓鱼、链接注入(便于跨站请求伪造)、跨站点脚本编制等问题
Mervyn的博客
10-11 1577
手上的一个项目最近用appscan扫描测试。遇到了几个中高问题: 通过框架钓鱼 链接注入(便于跨站请求伪造) 跨站点脚本编制 看了下测试报告给出的原因:未对用户输入正确执行危险字符清理。 修改建议是针对xss漏洞进行修复。 最开始处理的时候,参照预防XSS攻击,(参数/响应值)特殊字符过滤这篇博文做了过滤,再扫描还是有这几个问题。 后面又看了篇博文XSS攻击常识及常见的XSS攻击脚本汇总,了解...
每个 Web 开发人员都应该知道的 4 个 iframe 安全问题
dzqxwzoe的博客
12-26 1793
iframe 能提高用户的互动性。但是,当你使用 iframe 的时候,你处理的内容是来自于你无法控制的第三方。因此,iframe 经常会对你的应用程序造成威胁。然而,我们不能因为安全顾虑就停止使用 iframe。我们需要意识到这些问题并采取防范措施来保护我们的应用程序。我认为这篇文章能帮你识别使用 iframe 的安全问题。在下方评论区让我知道你的看法。如果发现译文存在错误或其他需要改进的地方,欢迎到掘金翻译计划对译文进行修改并 PR,也可获得相应奖励积分。文章开头的本文永久链接。
钓鱼框架新星:FiercePhish,你的安全测试利器!
最新发布
gitblog_00447的博客
08-09 497
钓鱼框架新星:FiercePhish,你的安全测试利器! FiercePhishFiercePhish is a full-fledged phishing framework to manage all phishing engagements. It allows you to track separate phishing campaigns, schedule sending of e...
Iframe框架钓鱼攻击
m0_62425768的博客
11-19 567
Iframe框架钓鱼网站是指那些假扮成合法网站的虚假网站,旨在诱骗用户提供个人信息、账号密码、财务信息等敏感信息。这些网站通常会模仿知名的银行、电子支付平台、电子邮件服务提供商等机构的网站,以迷惑用户并诱使他们输入敏感信息。原理是,使用正则表达式来判断前端传过来的值是否正常,如不正常则不允以应答,如正常则向前端返回前端Iframe标签中的值。当前端传过来的值为InN时,执行doYInframe方法,可防护Iframe框架钓鱼的后端代码。在访问银行、支付平台等网站时,确保网址正确,使用书签或手动输入网址。
跨站点请求伪造 跨站点脚本编制 通过框架钓鱼漏洞
mym43210的专栏
11-13 5510
1、跨站点请求伪造 跨站点脚本编制 通过框架钓鱼漏洞 主要是通过在url或参数中添加脚本如: 1、URL中添加alert(1) 2、参数value=。 添加一个过滤器对特殊字符进行拦截 [java] view plaincopy package com.xxx.sys.filter;      import jav
java跨站点脚本编制_跨站点请求伪造 跨站点脚本编制 通过框架钓鱼漏洞 | 学步园...
weixin_33324435的博客
02-26 248
1、跨站点请求伪造 跨站点脚本编制 通过框架钓鱼漏洞主要是通过在url或参数中添加脚本如:1、URL中添加alert(1)2、参数value=。添加一个过滤器对特殊字符进行拦截package com.xxx.sys.filter;import java.io.IOException;import java.util.Enumeration;import javax.servlet.Filter;i...
经典Web安全缺陷(框架钓鱼风险)
Liuhaiyan6的博客
09-17 8407
1、概述:Web安全应用程序的安全始终是一个重要的议题,因为网站是恶意工作者的第一目标。黑客利用网络传播其恶意软件、蠕虫、垃圾及其他等等。QWASP(是一个符合501(c)3)全球不以营利为目的的慈善组织专注于提高软件的安全性)概括了Web应用程序中最为危险的安全漏洞,但是在不断积极的发现可能出现的新的弱点以及新的Web攻击手段。黑客总是不断的在寻找新的方法欺骗用户,因此从渗透的角度看,我们需要看到
IBM Security AppScan安装包
06-26
总之,IBM Security AppScan是一款功能强大的应用安全测试工具,可以通过自动化测试和高级漏洞扫描技术,帮助开发人员和测试人员识别和修复Web应用程序中的安全漏洞,提高Web应用程序的安全性。
IBM Security Appscan漏洞--跨站点请求伪造
YouXu
03-16 7822
漏洞介绍: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务
IBM Security Appscan漏洞--存储的跨站点脚本编制
YouXu
03-16 9213
未对用户输入正确执行危险字符清理 ,添加XSS过滤器
网站漏洞扫描工具 IBM Security AppScan Standard使用
山间明月江上清风的专栏
12-19 3779
软件可以去官网下载,有30天免费使用: https://www.ibm.com/us-en/marketplace/appscan-standard 不过官网下载还要注册挺繁琐的,如果想省点事国内百度搜一下也有资源。 按照好后打开软件: create new scan -> regular scan -> full scan configuration 登录管理配置: ...
iframe URI钓鱼
weixin_34258078的博客
05-05 415
2019独角兽企业重金招聘Python工程师标准>>> ...
XSS漏洞钓鱼
weixin_51356351的博客
11-19 466
实验环境 PHPstudy DVWA靶场 实验步骤 重定向钓鱼 1、把当前页面重定向到一个钓鱼页面,例如重定向到百度, <script>document.location.href="http://baidu.com"</script> 2、打开DVWA靶场 选择(XSS)stored 然后F12打开查看器,将输入限制值改的大一点 插入代码则会重定向到百度页面 ...
javascript--防通过ifarme钓鱼
06-02 192
if(window != window.top){ window.top.locaction.href = window.locaction.href } 上面的判断,是验证当前的页面,被iframe嵌套了没有?如果有 就让这个嵌套的页面的,URL地址,等于当前被嵌套的页面的URL地址;即跳转到真正的网站。 感谢“妙味课堂”视频教程! 转载于:ht...
Iframe框架钓鱼攻击_iframe攻击原理
2301_78416732的博客
04-11 1100
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
Mylove net 我们手里的金钱只是保持自由的一种工具!-----卢梭
weixin_34380948的博客
04-20 113
创业之路:               http://space.tv.cctv.com/page/PAGE1237532629078449 软考查询:               http://www.ceiaec.org/search/qualify.html   中华英才网:              http://www.chinahr.com/index.asp   学习钓鱼...
IBM Security AppScan
05-10
IBM Security AppScan是一款用于Web应用程序安全测试的自动化工具,它可以帮助企业发现和修复Web应用程序中存在的安全漏洞和缺陷,从而保护企业的信息系统免受攻击。该工具可以自动进行漏洞扫描、发现弱点和缺陷、分析结果并提供详细的修复建议。 IBM Security AppScan支持多种技术和协议,包括HTML、JavaScript、AJAX、SOAP和XML等,它可以检测Web应用程序中的各种漏洞和安全风险,例如SQL注入、跨站点脚本攻击(XSS)、跨站请求伪造(CSRF)等。 除了漏洞扫描功能外,IBM Security AppScan还提供了一个强大的报告功能,可以生成详细的报告,包括漏洞描述、风险评估、修复建议等。这些报告可以帮助企业了解其Web应用程序的安全状况,并采取适当的措施来加强安全防护。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值