(OWASP汉化)攻击系列大全(四十一):浏览器中间人攻击

最新版本(mm/dd/yy):06/5/2016
翻译至Man-in-the-browser attack

该文章在OWASP中属于待审查的文章

概述

浏览器中间人攻击(The Man-in-the-Browser)和 中间人攻击(Man-in-the-middle attack)相同,但在这种情况下,特洛伊木马用于拦截和操纵主应用程序的可执行文件(例如:浏览器)与其安全机制或库之间的通话。

这种攻击的最常见目的是通过操纵网上银行系统的交易来引起财务欺诈,即使在使用其他验证因素的情况下也是如此。

先前安装的特洛伊木马用于在浏览器和浏览器的安全机制之间进行操作,在浏览器上形成嗅探或修改事务时仍然显示用户的预期事务交易。

通常情况下,受害者必须聪明,才能在访问网络应用程序时发现此类攻击的信号,即使在SSL通道存在的情况下也是如此,因为所有预期的控件和安全机制都会显示并正常工作。

效果点:
– 浏览器助手对象(Browser Helper Objects)-在启动时由Internet Explorer加载的动态加载库
– 扩展(Extensions)-相当于Firefox浏览器的浏览器助手对象
– API钩子(API Hooking)-这是浏览器中间人攻击在可执行应用程序(EXE)和它的库(DLL)之间执行中间人的技术。
JavaScript – 通过使用恶意的Ajax蠕虫,正如 Ajax Sniffer – Proof of Concept所述

危险因素

待定(TBD)

实例

通过操纵DOM接口
为了执行此攻击,攻击者可以通过以下步骤进行进展:

  1. 这个木马会感染计算机的软件,无论是操作系统还是应用程序。
  2. 该木马在浏览器配置中安装了一个扩展(插件),以便下次浏览器启动时加载它。
  3. 在以后的某个时间,用户重新启动浏览器。
  4. 浏览器加载插件
  5. 该插件为每一次加载的页面注册一个管理程序
  6. 每当加载一个页面时,页面的URL就会被插件搜索到针对攻击目标的已知站点列表。
  7. 用户可以安全地登录到例如 https://secure.original.site/.
  8. 当处理程序在目标列表中检测到特定模式的页面加载时(例如 https://secure.original.site/account/do_transaction ,它会注册一个按钮事件处理程序
  9. 当submit按钮被按下时,该扩展将通过浏览器中的DOM接口从所有表单字段中提取所有数据,并记住这些值
  10. 该扩展通过DOM接口修改值。
  11. 这个扩展告诉浏览器继续向服务器提交表单。
  12. 浏览器将表单,包括修改后的值发送到服务器。
  13. 服务器以正常请求的形式接收修改后的值。服务器不能区分原始值和修改后的值,或者检测更改。
  14. 服务器执行交易并生成一个收据。
  15. 浏览器接收修改后的事务的收据。
  16. 该扩展检测 https://secure.original.site/account/receipt URL,扫描发回的HTML,并使用它在之前HTML中记住的原始数据替换数据中的修改后的数据。
  17. 浏览器显示修改后的收据和原始的细节。
  18. 用户认为原始事务是由服务器接收到的,并正确地授权。

相关的威胁代理

待定(TBD)

相关攻击

相关漏洞

相关控件

参考文献