信息安全工程师知识点:Web欺骗的原理
Web欺骗的原理是攻击者通过伪造某个www站点的影像拷贝,使该影像Web的入口进入到攻击者的Web服务器,并经过攻击者机器的过滤作用,从而达到攻击者监控受攻击者的任何活动以获取有用信息的目的,这些信息当然包括用户的账户和口令。攻击者也能以受攻击者的名义将错误或者易于误解的数据发送到真正的Web服务器,以及以任何Web服务器的名义发送数据给受攻击者。简南言之,攻击者观察和控制着受攻击者在Web上做的每一件事。在整个过程中,攻击者只需要在自己的服务器上建立一个待攻击站点的拷贝,然后就是等待受害者自投罗网。因此,欺骗能够成功的关键是在受攻击者和其他Web服务器之间设立起攻击者的Web服务器,这种攻击种类在安全问题中称为”来自中间的攻击”。
在Web欺骗中捏攻击者用来制造假象、进行欺骗攻击中的道具称为掩盖体。这些道具可以是:虚假的页面,虚假的连接,虚假的图表,虚假的表单等。攻击者竭尽全力的试图制造令受害体完全信服的信息。并引导受害体做一些非安全性的操作。前面提到的网络钓鱼和漏洞攻击中,都可以利用Web欺骗。向时, Web欺骗也属于社会工程中的一种。