单击未知链接会引入哪些安全漏洞?

信息安全 网络钓鱼 网址重定向
2021-08-23 18:05:17

我今天收到一封电子邮件,告诉我“我的帐户已被包含”,这是一次明显的钓鱼尝试,至少我是这么认为的。 在此处输入图像描述

当我点击链接时,只是为了好玩,它把我带到了一个立即关闭的页面。这让我想到了可能在不输入信息或下载文件的情况下被滥用的漏洞。超链接在下方,如您所见,该 URL 几乎没有任何可以识别我的内容。单击后,链接会重定向几次,然后关闭选项卡。基地站点似乎是一个健身房,正如预期的那样,发送电子邮件的站点没有适当的 DNS 注册。

我的问题是:只要点击一个未知的链接,什么都不做,我可能会暴露哪些潜在的安全漏洞?

电子邮件链接:
hxxp://stile-gi.ru/administrator/components/com_falang/inferentialj.html

3个回答

假设您的浏览器(包括任何插件)、您的 AV 软件、您的操作系统、您的路由器中没有可远程利用的漏洞……没有危险。:)

显然,我很害羞,但我并没有过多地歪曲事实。如果您不断更新您的工作站软件,那么您很可能对 Internet 向您抛出的大多数内容免疫。大量发送的偷渡式利用尝试(或自我传播的尝试,如蠕虫)通常会尝试利用旧漏洞,以期抓住尚未应用安全更新的人。

另一方面,如果你是一个有价值的目标,让某人直接瞄准你,那么你必须更加意识到并小心点击随机链接,因为有人可能会尝试使用所谓的“0-day” “对你的剥削。这些漏洞可能是安全研究人员不知道的,或者是已知但没有已知修复/AV 签名/等的漏洞。有安全意识的人通常有一个沙盒环境(例如,一个完全隔离的虚拟机)来打开他们认为可疑的链接,但对于大多数人来说,这显然是矫枉过正。您的浏览器包含对可能对您的系统有害的恶意内容的重要防御,如果您一直小心地使用最新补丁更新您的操作系统和浏览器,那么您可能会没事。

一些:

Driveby 浏览器攻击:这是攻击者利用您浏览器中的漏洞并从那里可以从您的浏览器中窃取信息或更可能在您的计算机上执行代码的地方。

CSRF:他们可以通过单击按钮向您已经登录的站点(没有 CSRF 保护)发送请求(这并不总是必要的)。有时,如果攻击者让您与之交互的网站设计得非常糟糕,他们可能会让您通过图像标签在该网站上做事,例如:.

攻击您的内部网络或路由器。攻击者可以在您的防火墙后面请求资源,因为您的浏览器位于防火墙后面。他们还可以攻击您的路由器(众所周知,路由器容易受到与路由器位于同一网络的攻击者的攻击,请查看此站点http://www.routerpwn.com/)。像这样的攻击通常会得到诸如DNS 重新绑定之类的帮助。攻击者在攻击您的路由器时最常见的做法是更改路由器的 DNS 服务器或代理设置,以便他们可以 MITM 您的流量。

攻击者还可以攻击您机器上运行的任何 Web 服务器。各种应用程序在您的机器上运行您可能不知道的 Web 服务器。最近在 torrent UTorrent 中发现了一个漏洞,它允许攻击者通过对 UTorrent 在用户机器上运行的服务器的请求,在用户机器上运行代码(来源)。另一个例子是最近的卡巴斯基漏洞,它做了同样的事情。

攻击还可以通过其自定义 URI 与所述应用程序交互来攻击本地应用程序,例如,最近的Exodus 钱包 RCE ( https://hackernoon.com/exploiting-electron-rce-in-exodus-wallet-d9e6db13c374 )

为了使这个答案更笼统,我删除了实际域:当受感染站点的管理员响应问题时,链接往往会很快过期。

我很好奇这个具体案例。-- curl'ing -- 看似无用 -- 混淆的 javascript

http://example.com/administrator/components/com_falang/inferentialj.html可以看作是一个切入点。它包含看似无害的混淆 JavaScript,其本身不包含任何直接恶意的内容。其中许多试图看起来像一个完全正常的 CMS 组件或插件,有些甚至仅在特定条件下激活,例如当有人第一次访问该站点时。这一切都是为了生存:为了尽可能长时间地躲避站点管理员。入口点的唯一目的可能是将用户重定向到其他地方,就像现在一样。

接下来发生的事情也可能因情况而异,从而使调查复杂化。下一个站点可以配置为仅在实际浏览器访问它时或仅当浏览器的用户代理匹配可被利用的内容时才提供实际有效负载。当用户代理是 eg 时,它可能会给出不同的内容curl/7.52.1,因此使用混淆用户代理curl -A可能会变得很方便。下一个 URLhttp://example.net/?s=27012018&a=401336&c=cpcdiet对 的回复是空的curl,而谷歌浏览器会得到一个新的 HTTP 重定向:

Location: http://example.net/all/gcqs/cpc?bhu=CWpXnMGxogFTuYGF1JYCW2zLUa3SvtaoyYB9d

它具有以下内容(为便于阅读而添加了缩进):

<link rel="stylesheet" 
    href="/assets/CWpXnMGxogFTuYGF1JYCW2zLUa3SvtaoyYB9d/theme_1pgoz4.css?CID=411298" 
    type="text/css">
<link rel="dns-prefetch" 
    href="http://203.0.113.61.d.example.org">
<script>
    window.location.replace("http://pharmacy-site.example.org");

在哪里

  • stylesheetURL 仅包含一个占位符 CSS /*...Empty theme...*/
  • dns-prefetchURL 当前指向NXDOMAIN
  • script最后重定向到一个名为Pharmacy online-store的网站,销售伟哥。

最终位置是向俄罗斯私人注册的域;骗局的概率很高。

通过简单地打开一个未知的链接而不做其他任何事情,我可能会暴露哪些潜在的安全漏洞?

一般来说,这有很大的潜在危害,但这取决于您的浏览器如何反应,并且是针对此特定环境中的漏洞的利用。

这项调查显示,您在(可能是假的)药房网站上订购伟哥可能会赔钱,但情况也可能更糟。

其它你可能感兴趣的问题
上一篇如果我符合 PCI-DSS,我是否需要担心 GDPR? 下一篇中国人如何在实践中越过防火墙?