来自 网络 2021-04-04 01:41 的文章

服务器遭受攻击_排名靠前的_服务器被流量攻击的解决方法

服务器遭受攻击_排名靠前的_服务器被流量攻击的解决方法

在最近的一篇博文中,Felix Krause透露了一种在iOS上仿冒苹果ID密码的方法,这与真正的iOS密码请求很难区分。这让我们开始思考这一策略在苹果生态系统中的应用,以及它会造成什么样的破坏?图片由krausefx.com网站以Krause的iOS网络钓鱼骗局为例,通过使用简单的代码,任何应用程序都可以轻松模拟标准的iOS密码请求,大多数用户不会认为有任何问题。看看上面克劳斯的例子,我不得不承认我可能会成为受害者,尽管我可能想知道为什么这个请求会出现在第三方应用程序的上下文中。然而,我不认为这个特殊的钓鱼是一个巨大的风险。iOS应用程序只能通过App Store下载,虽然我从来不会说不可能将钓鱼应用程序带入App Store,高防cdn防御,但这肯定不是一件容易的事情。黑客不仅要偷偷地将这些代码通过审查,还必须创建一个诱饵应用程序,该应用程序将具有足够的吸引力来下载某些内容,高防御ddos系统,即使对于拥挤的iOS应用程序商店中的合法开发人员来说也越来越难。我认为这是可能的,但不太可能。当然,还有很多其他的应用程序商店筛选程序无法发挥作用的情况,这可能同样令人信服,如果不是更多的话。例如,考虑macOS而不是iOS。与iOS不同,Mac用户可以从任何地方下载应用程序,而且经常下载。这就是Mac用户最终会被恶意软件、广告软件和不道德的垃圾软件感染的原因。因此,黑客不必提交审查程序。假设您正在使用Mac电脑,但由于您的iCloud帐户出现故障,邮件应用程序突然打开并显示密码请求。它可能看起来像下图。你会怎么做?你能在那里输入你的iCloud帐户密码吗?毕竟,它会可靠地引用一个正确的iCloud帐户地址。如果你在这种情况下输入了你的密码,很抱歉,你会被淘汰的。好吧,如果你是个Mac专家,知道这些东西应该是什么样子的话,也许这不是最有说服力的密码请求。(我现在能听到批评声了)不过,有几件重要的事要记住。首先,这会欺骗很多人。当然,也许不是Mac迷,但大多数人不是,也不应该是,每个macOS对话框都是什么样子的专家。第二,这是我在五分钟内拼凑出的一个四行AppleScript的结果,其中三行涉及到获取与用户iCloud帐户相关联的电子邮件地址。完全有可能使这一点更有说服力。即使只是使用AppleScript,也有可能使用不同的技术,而且至少我能想到的一种,我已经看到了一个概念的证明,这将是非常令人信服的。更糟糕的是,在用Xcode编译的应用程序中,防御cc的公司,很容易模仿真实的macOS身份验证对话框,像素对像素。事实上,今年早些时候也发生过类似事件,当时Handbrake被黑客入侵安装质子恶意软件。手刹的恶意拷贝最终以一种连专家都会上当的方式请求登录密码,比如备受尊敬的Panic,Inc.的开发人员。我们已经习惯于将这种密码请求作为我们日常生活的一部分,所以当我们看到它们时,我们往往会不假思索地输入密码。毕竟,Mac电脑不会收到恶意软件,对吧?幸运的是,对于Mac用户来说,这类有害恶意软件的实际发生率很少,但这对黑客是有利的,因为我们已经习惯了这些请求,并且没有以应有的怀疑对待它们。那么,这类事情该怎么办?不幸的是,苹果公司无法解决这个问题。一个应用程序将始终能够显示像素完美的模拟任何官方macOS或iOS密码请求。更糟糕的是,即使是web开发人员也可以通过将目标系统的屏幕截图与web表单相结合来做到这一点。该代码可以检测到系统并为macOS、iOS、Windows或Android显示适当的"窗口"。在一个被黑客入侵的合法网站上加上这样的东西,你就可以愚弄很多人。尽管苹果可以随时将用户引导到已知的、良好的位置来输入密码,但这并不总是合理的。举个例子,苹果在macOS High Sierra通过新的用户认可的内核扩展加载过程,给Mac用户带来了可怕的用户体验。虽然这与密码请求不同,但这是一个很好的例子,说明出于安全原因强迫用户到某个位置可能会出现可怕的错误,从而导致一个坏用户可能实际上并不是更安全的体验。我们需要集中精力改变自己的行为,而不是去寻找无法修复的问题。无论来自何处,每个密码请求都应该被怀疑。如果邮件突然打开,出现一个询问密码的窗口,这并不意味着实际上是邮件在询问。用怀疑的态度对待这些密码请求,在某些情况下,意味着取消并在已知的、良好的位置输入密码。例如,如果正在请求iCloud密码,则应手动转到系统首选项中的iCloud窗格以输入该密码。不幸的是,ddos防御智智能卓越,这并不总是可能的,比如安装程序请求密码或应用程序请求密码来安装帮助工具。在手刹的情况下,手刹请求密码是不正常的,因此在该上下文中看到密码请求是一个危险信号。虽然我必须承认,我可能会爱上假手刹密码请求,如果我更小心,我会检查开发人员的网站或产品文档,看看这是否正常的手刹。如果在使用web浏览器时出现请求,请尝试在屏幕上移动当前的web浏览器窗口。如果"窗口"随之移动,它实际上不是一个窗口。它是一个覆盖在网页顶部的元素,看起来像一个窗口,这意味着它是一个假的。还可以通过故意输入错误的密码来测试这些密码请求。钓鱼恶意软件或网站在你输入密码之前无法知道你的密码是什么,高防低价cdn,所以他们不会知道你故意输入了错误的密码,他们只会接受你输入的密码。另一方面,如果错误的密码被拒绝,那么密码请求很可能是合法的。只要稍微注意一下密码请求的上下文,就可以避免大多数,甚至全部的网络钓鱼企图。重要的是要始终如一,不要因为赶时间而草率行事。