0x00 提醒
之前的一篇Electron 安全与你我息息相关文章非常的长,虽然提供了
7.95%左右,但那篇真的是我觉得很重要的一篇,对大家了解Electron开发的应用程序安全有帮助,与每个人切实相关但是那篇文章内容太多,导致很多内容粒度比较粗,可能会给大家造成误解,因此我们打算再写一些文章,一来是将细节补充清楚,二来是再次来呼吁大家注意
Electron安全这件事,如果大家不做出反应,应用程序的开发者是不会有所行动的,这无异于在电脑中埋了一些地雷
我们公众号开启了留言功能,欢迎大家留言讨论~
这篇文章也提供了 PDF 版本及 Github ,见文末
0x01 简介
https://www.electronjs.org/zh/docs/latest/tutorial/security#1-%E5%8F%AA%E5%8A%A0%E8%BD%BD%E5%AE%89%E5%85%A8%E7%9A%84%E5%86%85%E5%AE%B9
大家好,今天和大家讨论一下关于内容劫持方面的问题
很多使用 Electron 开发的程序关闭了所有的安全措施,但是仍旧没有被攻击,因为很多攻击的前提是存在 XSS ,有了 XSS 就如鱼得水,因此很多问题就被掩盖了
今天提到的内容劫持,就是非XSS 但能造成大影响的一种攻击方式,这个其实就是大家最常见的一种问题 —— 明文传输
很多安全研究员思考危害时只从攻击个人或企业系统这种具体目标思考问题,这明显会有问题
假设一下,如果微信存在加载 http 资源在网页上解析并存在不安全的配置,之后我们通过设备漏洞等控制了某个省市的出口节点,之后施行攻击,这将成为一场大型的攻击
因此官方建议:
使用 https 而不是 http;使用 wss 而不是 ws,使用 ftps 而不是 ftp
今天的内容就以 http 和 https 为例
-
0x00 提醒
-
0x01 简介
-
0x02 劫持 HTTP 内容
-
1. 编写测试程序
-
2. 劫持网络
-
3. 建立 HTTP 服务器
-
4. 受害者正常打开程序
-
0x03 尝试劫持 HTTPS 内容
-
1. 尝试自签名证书
-
2. 尝试正常证书
-
0x04 攻击面分析
-
0x05 总结
-
0x06 PDF 版本 & Github
-
原文始发于微信公众号(NOP Team):内容劫持 | Electron 安全
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论