存档

文章标签 ‘渗透’

在线攻击的幕后场景:对利用Web漏洞行为的分析

2015年4月28日 没有评论

原文:http://www.internetsociety.org/doc/behind-scenes-online-attacks-analysis-exploitation-behaviors-web

翻译:赵阳

摘要:现如今Web攻击已经成为了互联网安全的一个主要威胁,人们对它进行了很多研究,特别详细地分析了攻击是如何进行,如何传播的。但是,对于当Web被攻陷时的攻击者的典型行为研究却很少。本文描述了一个设计、执行、配置有500个完整功能的蜜罐技术网站,从而可以提供多种不同服务,目的就是要吸引攻击者,采集攻击者在攻击过程中和攻击后的行为信息。在100天的实验过程中,我们的系统自动采集、处理和规整了85000个在大概6000次攻击后留下的文件,并把攻击者的攻击路线标记成了不同类别,以区分它们在每次利用Web应用漏洞过程中的行为。

一、引言

Web攻击是对人们经济和知识财产造成破坏的主要原因之一。去年,这种攻击的数量不断在增长,复杂程度也在增加,并且目标多是政府和高利润的公司,窃取个人信息的同时造成了数百万欧元的经济损失。使用台式机、笔记本和智能手机上网的人数的不断增加,这就有了很吸引人的攻击目标,从而使他们走上了犯罪的道路。

这种趋势也已经成为了学术研究之一。事实上,快速的看下前些年发表的论文,会发现与Web攻击和防守相关的文章很多。这些研究大多数关注于一些普通的与Web应用、Web服务器或是浏览器相关的漏洞,通过这些漏洞来拿下目标。其余的剖析了针对内部构件的特殊攻击活动[5,13,17][……]

阅读全文

如何渗透PayPal(贝宝)用户交易记录系统

2013年6月5日 没有评论

原文:http://www.breaksec.com/?p=6285

翻译:裴伟伟(做个好人)

今天我来介绍一下我之前是如何攻入PayPal记录系统的,这个BUG已经被反馈给了Paypal安全团队并立即得到了修补。

利用这个漏洞,攻击者可以完全访问PayPal的用户交易记录。在这些记录里,你可以找到如下的用户信息:

  • 购物地址
  • 电子邮箱
  • 电话号码
  • 商品名称
  • 购买数量
  • 用户全名
  • 交易号
  • 发票号
  • 交易主体
  • 账户名
  • Paypal参考编号

等等……

首先,在PayPal的用户界面,这里有一个“交易记录”的选项:

reportsopton

通常,用户可以通过这个选项来访问自己购买过的商品记录。

当我点击了交易记录时,我发现程序发送了一个post请求,大概是这个样子 (POST /acweb/iportal/activePortal/viewer/viewframeset.jsp):

businessrequestpost

接下来我又看到了一个路径 (/acweb/iportal/activePortal/viewer/),其中有些部分引起了我的兴趣 (iportal, activePortal)。随即我就谷歌了一下:[……]

阅读全文

分类: Web安全 标签: , ,