内容欺骗
内容欺骗是一个术语,用于定义恶意程序员的攻击类型,在这种攻击中,他们通过文本注入或html注入向用户展示假冒网站,将其视为合法网站。当Web应用程序不能正确处理用户使用搜索等提供的数据时,攻击者可以利用这种情况并注入用户不注意的其他参数。这导致着陆到另一个与原始网页相同的网页。该页面可能要求用户输入机密信息,如果该信息被泄露,将导致严重伤害。
注入的两种基本类型是
HTML注入
文字注入
HTML注入
攻击者找到了易受攻击的Web应用程序。
攻击者通常通过电子邮件以任何方式将修改后的URL发送给用户。此URL已插入文本。
通过单击URL,用户将导航到攻击者网页,看起来很合法。
用户询问了诸如用户名,密码,卡号等信息。
此信息被传输到攻击者服务器。
例
一些站点通常也在div标签内将url中的html内容作为参数传递,这会造成很大的漏洞。
www.testing.com/siteAdcontent?divMessage=<h1>单击此处!</h1>可以将其修改为-
www.testing.com/siteAdcontent?divMessage=<hack><h1>请勿单击!</h1><hack>
文字注入
攻击者找到了易受攻击的Web应用程序。
攻击者修改URL中传递的参数值。
格式错误的页面请求链接已发送到攻击者服务器。
现在,有效的网页会根据参数显示错误信息。
通过请求参数传递消息时发生。
例
www.testing.com/loginAction?userName=abc&password=123可以附加为
www.testing.com/loginAction?errorMessage=PasswordEmpty这个新的URL可以将用户带到显示虚假内容的页面,并可能冒犯用户。