2013年12月27日 星期五

利用 XSSF 來實現 android 4.1 手機網路釣魚手法

利用 XSSF 來實現 android 4.1 手機網路釣魚手法

XSSF( Cross-Site Scripting Framework )是一個檢測XSS漏洞的工具,其允許在目標裝置的 Google Chrome 瀏覽器上觸發一個XSS漏洞並依此建立一個後門連線( communication channel )。

XSSF 官方網站與軟體下載處:
https://code.google.com/p/xssf/

環境:
Kali Linux + Metasploit + XSSF (並使用SVN來進行版本更新)

步驟:
1.安裝好 XSSF 後 (放置於 Metasploit 的 apps/pro/msf3 中) 載入。
2.透過通訊APP或簡訊將 http://192.168.1.27:8888/test.html 於手機的 Google Chrome 瀏覽器中開啟就會觸發 XSS 。
3.於 XSSF 中輸入 _information 1 即可觀察到該手機的相關資料。
4.輸入 http://localhost:8999/gui.html?guipage=main 便可進行其它資料竊取的行為。

防範方式:
1.不要亂點選網址,尤其是經由簡訊或通訊APP。
2.開啟手機的防火牆機制(通常需要root)來防止惡意連線。
3.等官方修正 android 系統漏洞並更新修補程式。

 

轉載自《網路攻防戰》