热门标签
热门文章
- 1UE5 使用Postman测试WebsocketServer_ue5 websocket serve
- 2开源项目介绍 |TKEStack-开源容器服务平台
- 3神经网络的常用激活函数
- 4GPT-SoVits 改动API实现后,中英文混合输出问题_wav16k.unsqueeze
- 5SQL Server网络配置
- 6探索JetLinks UI Vue:一款高效易用的前端框架
- 7Elementui el-tree 自定义节点内容、图标右移、修改某一节点对应背景色、展开或关闭所有节点等常用问题_element plus ts tree 自定义节点
- 8Python并发之Asyncio_python asyncio
- 9React Ant Design 中内置、自定义表单验证的火速上手_react表单自动校验
- 10探索未来导航新境界:FAST-LIO-SAM,SLAM领域的革新之作
当前位置: article > 正文
【ATT&CK】守株待兔式的水坑攻击_常见水坑攻击识别
作者:秋刀鱼在做梦 | 2024-07-16 18:43:55
赞
踩
常见水坑攻击识别
声明:一切知识服务于国家信息安全建设,如果你是一个攻击者,好走不送!否则后果请自行承担!
一、守株待兔
本文所述守株待兔式攻击,即时在入口点埋设陷阱,等着受害者入坑,此类攻击即常说的 Initial Access中的“水坑攻击”。
常见的水坑攻击可利用如下漏洞进行的:
- 存储型XSS
- 后门
- Jsonp劫持
- 大量CVE
- Beef攻击框架等
二、存储型XSS
存储型XSS的常见利用方式有两种:获取用户cookie和钓鱼攻击。前一种实现的是会话劫持,让受害者为我们刷身份证;后者则是引导受害者进入一个虚假或部分关键功能伪造的页面,进而进一步获取用户信息等。
关于获取cookie,技术圈常见的是结合xss平台。通过XSS平台,可以进行获取登录用户 cookie、 内网 ip、
截屏、 网页源代码等操作。XSS平台可以自己找一个,但要牢记的是,尽可能自己搭一个,有句话叫做:“螳螂捕蝉,黄雀在后”。
关于XSS的学习可以参考:https://blog.csdn.net/qq_37865996/article/details/104143876
三、木马与后门
请移步:https://wittpeng.blog.csdn.net/article/details/104234715
四、jsonp劫持
请移步:https://wittpeng.blog.csdn.net/article/details/104254931
五、CVE、CNVD、CNNVD等
找寻可能的漏洞存在点,多布一些陷阱,总有进坑的。
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/秋刀鱼在做梦/article/detail/835679
推荐阅读
相关标签
