网络钓鱼页面能与目标服务生成真正的会话吗？

Question

在本教程的最后，作者给出了一些改进基本网络钓鱼攻击的建议。

其中一个让我特别感兴趣的是:是否可以使用受害者在您的网络钓鱼页面中输入的凭据，比如Facebook或Twitter的API，并将这些凭据发送到实际服务，从而创建一个真正的会话，使受害者永远不会意识到它们被钓鱼了？

Answer 1

是的，网络钓鱼网站可以充当用户和预期网站之间的代理，从而记录/注入数据。不过，这需要一些比SSLstrip更复杂的东西，而不仅仅是在网络钓鱼网站上。

浏览器中的URL将在整个会话中引用钓鱼站点。

Answer 2

我认为这完全取决于这些API实际如何管理凭据。我真的不知道Facebook或Twitter是如何处理这些信息的。如果只通过用户名和密码进行身份验证，那么..。我认为这是可能的。

但是，如果使用用户名和密码，则使用只能在受害者的计算机上获得的第三张证书，并且不会被您的网络钓鱼页面捕获。这可能行不通。

如果你的问题主要是关于受害人从未意识到被钓鱼的肯定，我认为这将是非常困难的，如果不是不可行的话。

Answer 3

据我所知，这就是我们使用csrf (Cross-site request forgery)令牌的原因。

理论上，任何东西都可以将POST数据提交给接受POST数据的URL .

假设dodgysite.com/login处理要登录用户的POST请求。本网站只接受用户名/密码。任何脚本都应该能够发送请求，包括您的钓鱼网站。

此外，securesite.com/login还可以处理唯一的csrf令牌，如果令牌不匹配，它将不接受请求。由于每次加载登录表单时都会随机生成此令牌，因此恶意参与者不可能从其他地方提交有效的POST数据。

除了检查每个有效的csrf令牌请求外，securesite.com/login还应该检查来自同一来源的请求(即网站上的合法登录表单)。

如果这两个要求没有得到满足，那么是的，您将能够从恶意应用程序与登录表单进行交互。