自己的文自己回
最近遇到一个有趣的 MITM (?) 的例子
使用者透过浏览器登入网站 发送的 RESTful API 的特定 response
都会被替换掉内容 !!
举个例子来看 使用者发送的 https://example.com/resources/resource 的 API
网站收到的是 application/json 的回传格式 内容是
{
"address" : "0x123456789ABCDEF"
}
但是在使用者的环境 都拿到固定的 0x111111111111111
在还没碰触到使用者机器的情况之下 该如何解决通灵的问题呢 XD
检查过系统后台的 DB 确定 address 并没有在真实数据库中
隔空抓药有以下三种可能性：
- 使用者被 MITM (Man-in-the-middle) 攻击
- 使用者连上钓鱼网站 (phashing)
- 使用者的 DNS 被窜改 (DNS Spoofing)
其中
MITM 可以透过 1) 在系统安装 mitmproxy 并且 2) 安装恶意的 Root CA
钓鱼网站则可以透过 Cyrillic alphabets 让使用者连到钓鱼网站
DNS 窜改则是直接将目标网站导向到钓鱼网站
~ 以下开放更多隔空抓药 ~

xd

话说换了新工作之后 更少碰到资安事件了... QQ

Tor有封包上的漏洞，被利用后可调至钓鱼网站(装肖维