来自 网络 2020-07-12 05:40 的文章

美国高防_服务器防护盾_无限

一位安全研究人员开发了一种针对lastpasswordmanager应用程序的网络钓鱼攻击,这种攻击几乎不可能被检测到,并且能够完美地模拟LastPass登录序列。该技术利用了LastPass在处理用户注销通知和由此产生的身份验证序列时存在的几个弱点。西雅图Praesidio的CTO肖恩·卡西迪(Sean Cassidy)开发了这种攻击,ddos防御套餐,并发布了这种技术的代码,他称之为LostPass。本质上,该技术允许攻击者复制LastPass用户的大部分登录序列,包括使用相同的登录对话框以及捕获和重放双因素身份验证代码的能力。卡西迪发现了这项技术,因为他在Chrome上收到了一条信息,告诉他上一次访问已经过期,需要重新登录。“当我点击通知时,我意识到了一件事:它在浏览器视图中显示了这个。卡西迪在一篇解释LostPass的博客文章中说:“攻击者可能已经收到了这个通知。“任何恶意网站都有可能收到通知。因为LastPass训练用户在浏览器视窗中期待通知,所以他们不会更明智。“LastPass登录屏幕和双因素提示也会在视口中绘制。”他们应该将登录页面移动到HTTPS EV,或者只在弹出窗口中显示。为了使LostPass正常工作,攻击者需要让受害者访问部署了LostPass代码的恶意站点。该代码将检查受害者是否安装了LastPass,如果安装了LastPass,dos攻击如何防御,则使用LastPass中的CSRF(跨站点请求伪造)漏洞强制受害者注销应用程序。使用LostPass的攻击者将向受害者显示通知,告诉她已注销,当她单击该通知时,会将她带到攻击者控制的登录页面。它看起来和正品一样。一旦受害者输入了她的凭据,ddos攻击,它们就会被发送到攻击者的服务器,攻击者可以使用lastpassapi来检查其真实性。如果服务器说在受害者的帐户上设置了2FA,LostPass将显示一个屏幕,输入2FA代码,攻击者将捕获该代码并使用它登录受害者的帐户。“一旦攻击者拥有正确的用户名和密码(以及双因素令牌),就从LastPass API下载受害者的所有信息。我们可以通过紧急联系功能在他们的帐户中安装后门,禁用双重身份验证,将攻击者的服务器添加为“可信设备”。任何我们想要的,真的,”卡西迪写道。该攻击对LastPass用户有严重影响,后者已接受过在浏览器窗口中响应应用程序通知的训练。卡西迪去年11月向LastPass披露了LostPass攻击,并表示公司直到12月才做出回应。他在上周末的ShmooCon安全会议上谈到了这项技术,从那时起,LastPass开始要求对任何新的登录进行电子邮件确认。然而,卡西迪说,这并不能解决问题,只是缓解了问题。他说,一个更好的解决方案是停止在浏览器窗口的主要部分显示用户通知。“它们不应该在视区(显示内容的浏览器部分)中显示通知。卡西迪在电子邮件中说:“他们要么将登录页面移动到HTTPS EV,要么像在Chrome中那样只在弹出窗口中显示。”。他说,hat LastPass现在对卡西迪是否在11月联系他们提出了异议,尽管卡西迪已经发送了电子邮件联系的证据。“暗示我为我的演讲隐瞒了信息是荒谬的。卡西迪在电子邮件中说:“我提前告诉了他们那里的一切。图片来自克里斯蒂安·科伦的Flickr流。