最近突然RC來了幾個人，雖然以我多年經驗掐指一算就知道來者不善(((畢竟ID總是那麼那個，但我還是洗耳恭聽一下他們想做什麼，某位人士跟我索取https://所跑出來的網頁，我一開始還一頭霧水，但我思考了一下，爬了個文就明白了他們想做什麼。

簡單來說他們要做的是

盜取你的帳號密碼

【前提】






怎麼做到的?!那在這之前你要先理解什麼是https，https://是一種加密保護協定，全名叫做「 超文字傳輸安全協定」，它可以保護對網路伺服器的身分認證，保護交換資料的隱私與完整性，簡單來說，它能夠保護網站與用戶端之間的資料傳輸內容，防止它們遭到有心人士的側錄、攔截或竄改。

看到紅字了嗎?這個就是本次重點，https://可以保護你的資料資訊，但正所謂水能載舟亦能覆舟。

還是不清楚的話請點選連結有更清楚的解釋  <<點我>>



【攻擊方式】


在看之前可點選連結理解  <點我>

 https://會幫助你加密網頁，所以通常你的連線網址後方都會有這段不尋常的字符，舉個比方。

在Facebook上：https://www.facebook.com/photo.php/INJECT_WHATEVER_YOU_WANT_HERE/
 如果您查看網址就可以看到字串“INJECT_WHATEVER_YOU_WANT_HERE”

這段就是被加密保護的部分，因此，攻擊者可以從你所訪問的HTTPS網頁透過Web應用程序提取秘密信息，原理就是針對 HTTP 頁面值入 script，讓你的瀏覽器對 https://www.facebook.com/ 發出大量 request，藉由觀察這些 HTTPS 的長度就有機會取得 session id (或 CSRF token)...

實例
CERT 的 security advisory ：

With a token of length 32 and a character space of size 16 (e.g. hex), the attacker needs an average of approximately 1,000 request if no recovery mechanisms are needed. In practice, we have been able to recover CSRF tokens with fewer than 4,000 requests. A browser like Google Chrome or Internet Explorer is able to issue this number of requests in under 30 seconds, including callbacks to the attacker command & control center.

這邊的意思是，在30內發出四千次的請求，攻擊該網域，也就是你給出的https://。30秒內就拿到你所有秘密資訊，輕輕鬆鬆


【保護方法】

目前此種做法怎麼防範還無解，但在這邊教大家一招防範。

遇到有人要求你給他這類網址的話，把下方網址給他就對了~~

內政部警政署刑事警察局全球資訊網中文版
http://www.cib.gov.tw/Default.html





先謝謝那幾位朋友，但下次要騙人精明點，誕生了這篇文章，剛學會這招的可以洗洗睡了~