如果有更多的信息,当然比较好。比如有对方的邮箱、手机号、QQ号、msn、论坛账号等信息。如果有更多的权限,就更好了。象执法机关那样,可以随时进行手机定位、查阅相关的服务器等。
没有足够的信息、权限时,怎么办呢?
这几天深入想了一下,还是有许多办法的。
IM工具的定位,已经有大量方法了。如QQ/msn,通过本地的抓包,即使对象隐身了,也能想到对方的地址信息。如果再传个文件,发个图片,就更有数了。但这一切,都是基于对方透明网络,没有使用隐身代理的情况下。
关于qq/msn的ip查找问题,网上已经有大量的文章在描述了。
另外,也可以通过发邮件确定某人IP。通过邮件定义的邮件回执,再查看邮件头信息,确定对方的IP信息。邮件头里面的信息其实是很丰富的,只是一般人很少查看。通过foxmail和outlook这类邮件工具,打开邮件,显示邮件的全部信息,就可以看到邮件头信息。这里面包括了收发邮件人的IP信息。使用这种方法,有时也会用来查找垃圾邮件的发送者。当然,这里面的信息,有时也是可以伪造的,但一般人很少动这心思。通过查看邮件头信息,确实可以得到很多有用的信息。
但有一种情况,发送邮件者通过web mail发送时,发送的IP地址就变成web
mail服务商的地址了,不会显示发送者的原始地址。另外,在许多论坛上面,我们如果也想查看其它人的IP信息,怎么办呢?
上面的这种情况还是很普遍的。即,所有的客户访问活动,都是在server上进行的。第三方没有管理权限,如果查看其它访问的信息?
跨站和注入是个很好的工具。跨站和注入相结合的广泛应用,说明了大量的应用,仍然没有对输出输出进行严格的控制。其实不光跨站注入说明问题,还有许多应用实现偏离安全设计目标的情况。这种情况更为多见。
什么意思呢?应用实现偏离安全设计目标。
就是应用系统在实现的时候,都基于一个懒惰、自由、信任、或者受限于安全编程去实现的。编程者相到的首先是如何实现一个功能,如何把这个功能实现的更加高效完美,这个功能也可能在输入输出时,设计者想到了许多方法去控制输入输出,但多个功能组件放在一个复杂的系统时,会产生了许多不可预知的状态。通常这种状态,就是我们可以寻找突破的地方。
恩,说了半天,我怎么老觉的没有说透,似乎让人越来越糊涂呢?
举一个例子吧。
比如国内的主流邮箱,大部分都提供了web mail功能。这些web mail
的实现,看上去都实现的非常好,效率高,反应快,界面漂亮,功能繁多,也没有什么安全问题,即使有,我们这样的水平,一时半会儿也要折腾着专门研究,就没时间赚钱吃饭了。所以,暂时还是很安全的。能随意控制这种系统的人,至少现在我还没有见过。只能让心底里崇拜吧。
那,这么安全的一个系统,如何实现我的需求?实现界面上面没有一些东西,让它真正 我所用呢?
我们就需要在这具系统的多个组件状态中,寻找突破口。
通过在一些web mail中,构造一个假造的用户名、密码修改页面,发送到别人,就可以通过钓鱼手段,取得没有防范心理的账户信息了。
另外,在一些web mail中,还可以加入frame,img,url,scrip,flash等对象,把对象的width=0
height=0,就隐藏起来了。如果再把这些对象引用,放到控制的服务器上面,就可以取得访问者信息了。
刚开始,我还以为这些对象的引用,需要经过web mail的过滤,后来发现,所能接触到的系统,都是没有通过服务器进行引用。哈哈。记住,是所有的系统。
如果有系统做了引用处理。那么,又提供了另一种可能。
一般服务器是不对外主动访问的。如果做了引用处理,就必须发起主动访问了。那么,这里面可以玩的,有趣的东西,就更多了,不是吗?引用对象各种各样,攻击者只要把对象放在外部,等着服务器来访问,进行感染服务器的功能组件就可以了。
恩,说到这儿。不得不提一下google/baidu一类的搜索引擎。
搜索引擎的实现我是一知半解,连点儿皮毛也不知道。但毫无疑问,是主动式的数据搜寻,找到后封装放到后台的数据库中。就是个数据搬运的过程。如果能把这个"搬运工"的机理研究透彻,有没有可能,把恶意数据感染到整个后台数据库呢?这样就可以影响全球的网络用户了。
这种恶意数据,一定隐藏的非常深非常好,表面上和所有的正常数据是一样的。更没有执行功能。只有在常见的浏览器查看时,才会显示出威力呢。就象图标漏洞、falsh漏洞。
Ok,说的这么悬,我觉的实现起来也非常难,但并不是没有可能。
虽然google/baidu数据读取时,"搬运工"是个主动控制数据的过程,另外,在数据到最终用户的过程,也要经过层层的控制。感染"搬运工"也非常难,毕竟是黑盒,不了解原理,另外,无法主动喂食数据,只能等到对方来取。给了定制好的数据后,"搬运工"是啥反应也很难捕捞。
虽然难题一堆,但我仍然相信,一个简单的慢速线路,就可以影响整个世界。
-------注:上面这些文字,是春节前写成的,一直放在日记里没有发出来。2009.1.31晚上凌晨,看到google全球各站都出了问题,只要提交搜索请求,包括
google自己的网站,都在搜索结果中,显示为恶意站点。是google自己出错,还是有人恶意入侵?其实我比较相信后者的可能性。
没有评论:
发表评论