QRLJacking:如何劫持快速登陆时使用的二维码

2016-07-29 496631人围观 ,发现 9 个不明物体 WEB安全

如果你在电脑上用过微信,一定对下面的画面不陌生。实际上不仅是微信,Line、WhatsApp都使用这种简单快速的验证系统。

wx.PNG

SQRL登录系统

这种系统叫做SQRL(Secure Quick Response Login,安全快速响应登录),这是一种基于二维码的验证系统,特点就是可以让用户快速地登陆网站,不需要输入用户名密码。

所谓二维码,就是一维条码的基础上扩展出另一维具有可读性的条码,它能够包含大量的信息,包括共享密钥或者会话cookie。

用户扫描之后就不用再输入用户名密码了。由于密码可以通过keylogger、中间人攻击 、或者暴力破解,所以相比之下,二维码就安全得多。

但是看似安全的技术,黑客总能想到对付它的方法。

QRLJacking:劫持基于二维码的登陆系统

埃及信息安全公司Seekurity Inc的研究员Mohamed Abdelbasset Elnouby想出了对二维码登录进行劫持的方法,并且发布了PoC演示。

研究员把攻击方法命名为QRLJacking,这种方法简单,但影响却很恶劣,能够影响到所有那些使用了二维码登录的网站。攻击者需要做的是让受害者扫描一个二维码。

攻击流程

qrljacking-qr-code-hacking.png

攻击者建立客户端二维码会话,然后把登录二维码复制到钓鱼网站。

攻击者将钓鱼页面发给受害者。

如果受害者相信了,就会用手机扫描二维码

手机里的应用就会把secret token发送给目标服务完成认证过程。

最后攻击者作为发起客户端客户端二维码会话的人,获得了受害者账号的控制。

之后,服务就会开始在攻击者的浏览器会话中交换受害者的数据。

因此,要进行QRLJacking攻击,黑客只需:

进行二维码刷新的脚本

制作好的钓鱼网站页面

视频演示

攻击者在进行攻击时要使用特定的脚本,因为这些登录界面的二维码定期会刷新,旧的就会失效,所以脚本的作用就是要实时地进行刷新。

w.PNG

QRLJacking攻击成功后,攻击者就可以完全控制账号,甚至能够获取到受害者的地理位置、设备IMEI号、SIM卡数据和其他敏感信息,这些信息都是客户端app在登录的时候会展现的。

更多更详细的技术细节,可访问OWASPGithub查看。

*参考来源:THN,FB小编Sphinx编译,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)

相关推荐

这些评论亮了

  • 桔梨萝柚 回复
    朋友经常借我q号玩游戏由于我开了安全中心验证,我就让他直接截个登陆的二维码图给我扫一扫 :mrgreen: 其实是不想给他密码
    )20( 亮了
  • 河蟹 回复
    乌云到底怎么了,求知情人爆料
    )8( 亮了
  • 桔梨萝柚 回复
    @ Kyrios 这是做了一模一样的钓鱼网站吧,没注意以为要登录就点了。
    )7( 亮了
  • 一叶知秋 回复
    @ yyy3333 被世纪佳缘捅菊花了?
    )7( 亮了
  • 看看啊 回复
    中间人啊
    )6( 亮了
发表评论

已有 9 条评论

取消
Loading...
Sphinx

这家伙太懒了,什么都没写

410 文章数 96 评论数 5 关注者

特别推荐

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php