Sangfor华东战队:企业安全浏览器攻击与防御
2022-10-16 20:7:43 Author: www.freebuf.com(查看原文) 阅读量:4 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

介绍与描述

现如今,网络非法犯罪总是在发明新的方法来欺骗用户,以获取他们的凭据、密钥和其他一切有价值的信息。一般来说,这些方案都是针对信息安全不警惕的用户,无论他们变得多么复杂。要求用户输入凭据的网站地址是用户必须注意的首要细节,以避免网络钓鱼攻击。但是,这里想告诉大家一种不同的攻击方式,URL 对受害者来说是安全且正确的。

目前,由于网络钓鱼攻击,在网络安全方面,网络钓鱼远远超出了传统的电子邮件方法。如未能采取必要预防措施的企业可能会遭受毁灭性的​​网络钓鱼攻击性事件。数据泄露会影响国家安全,但如果公众知道,企业品牌的声誉和信任可能会遭到破坏。浏览器中的浏览器攻击是一种网络钓鱼诈骗,其中通过在 Web 浏览器中模拟 Web 浏览器窗口来窃取敏感的用户隐私信息。

当用户在前一个 Web 浏览器窗口中看到一个虚假的弹出窗口,要求用户提供该网站的登录凭据时,这会导致身份盗用。为了防止这些攻击,企业应确保其员工和消费者的信息安全。

浏览器中的浏览器攻击

例如,用户选择单点登录 (SSO) 选项来登录网站或 Web 应用程序中的多个互连应用程序,则会出现恶意弹出窗口以收集有关用户的敏感信息,例如登录凭据。此外,网络钓鱼诈骗的登录过程中的弹出窗口与浏览器攻击中的浏览器不同,它会显示任何与合法 URL 相似的 URL。因此,网络犯罪黑客使用 Web 浏览器内的 Web 浏览器窗口模拟合法域。用户更喜欢单点登录 (SSO) 以保持登录到多个互连的网站或应用程序。他们不想记住较长的凭据,因此这种攻击主要利用该选项。

因为一旦弹出窗口出现,用户就无法区分假域名和合法域名,网络犯罪黑客可以利用单点登录偏好来获得优势。因此,跨多个应用程序提供单点登录的企业存在更高的风险,因为它们会成为针对这些浏览器的浏览器攻击的牺牲品,从而危及用户个人信息安全。对于提供单点登录功能来保护其消费者信息的企业,必须了解与 SSO 相关的风险并采取严格的安全措施。

有一些方法可以识别假登录窗口,即使它看起来并不明显是假的。登录窗口是浏览器窗口,它们的行为是这样的。它们可以最大化、最小化和移动到屏幕上的任何位置。假弹窗无法移动。同样,它们可以覆盖其边界(浏览器窗口)中的按钮和图像,但仅限于其范围内。

尝试以下方法来验证您的登录表单是否是假的:

1.出现表单的浏览器窗口应该被最小化。同样,如果应该在单独窗口中的登录框也消失了,那么它就是一个攻击者伪造虚假站点。始终在屏幕上保留一个真实的窗口很重要。

2.如果登录窗口超出父窗口边界,登录将变得困难。一个真正的窗口将能够跨越,但一个假的不会。

3.在这些情况下,您不应输入您的凭据。如果登录表单行为异常,它可能会与另一个窗口一起最小化,在地址栏下停止,或者在它下面消失。

鉴于 SSO 为企业和消费者/用户提供了无穷无尽的机会,避免它不是一个好主意。企业可以通过实施多层安全以及单点登录 (SSO) 来防止浏览器中的浏览器攻击并减轻其他相关风险。

多重身份验证

多因素身份验证(或 MFA)是一种多层安全系统,用于验证用户身份以进行登录或其他交易。通过利用多个身份验证层,即使一个元素损坏或禁用,用户帐户也将保持安全。多因素身份验证的一个示例是智能手机应用程序代码、个人安全问题的答案、发送到电子邮件地址的代码、指纹等。通过将 MFA 纳入您的安全策略,您将防止您的用户泄露他们的身份在浏览器中的浏览器攻击的情况下,同时确保为您的业务提供强大的信息保护。为了防止 BITB 攻击,可以使用软件和硬件令牌进行双重身份验证。

基于风险的身份验证

为了防止浏览器中的浏览器攻击,基于风险的身份验证或自适应身份验证是一站式服务。根据系统受损的可能性,对身份验证进行了严格的监管。随着风险的增加,身份验证变得更加严格。RBA 对身份验证过程应用不同级别的严格性。即使在 BITB 攻击等高风险情况下,用户的身份仍然受到保护,因为 RBA 会自动合并另一层身份验证。即使用户使用单点登录功能来限制未经授权的访问,基于云的消费者身份和访问管理 (CIAM) 平台也可用于实施基于风险的身份验证。

零信任架构

企业不应该自动信任任何设备或个人,无论是在其边界内还是边界外,并应在授予访问权限之前严格验证所有内容。零信任是一种安全概念,认为企业不应自动信任任何人或任何事物。基本上,零信任的工作原理是切断所有接入点,直到建立适当的验证和信任。为了获得对 IP 地址、设备或存储的访问权限,系统必须验证要求访问的个人或设备的身份。

网络安全,任重道远。我们需要进一步提高认识,加强人员安全意识教育,组织信息安全培训,不断提高全员安全意识。细节决定成败,绝不放过任何一个微小的敏感信息,很多企业、组织甚至国家都是因为一个不起眼的细节而一败涂地。通过更多的实战型攻防演练活动来检验国家各类关键基础设施和关键行业企业的安全性,以攻促防,全面有效地加强网络空间安全建设,让网络安全成为国家高速发展和人民美好生活的坚固基石。


文章来源: https://www.freebuf.com/articles/es/346964.html
如有侵权请联系:admin#unsafe.sh