创优目录:乐信分类目录网 » 资讯 » 行业资讯 » 文章详细

为什么免费代理是“免费”的?

来源:露千儿 浏览次数:536次 发布时间:2015-07-05

最近偶尔发现, Chema Alonso 在 Defcon 20 会议上谈到他怎么从头开始创立一个JavaScript 僵尸网络,然后怎么运用它来找到骗子和黑客。
一切都是经过一个 SQUID 代理并修改了些小装备完成的。
这个主意非常简略:
1.【服务器】在一台 linux 服务器上装置 Squid
2.【Payload】修改服务器装备,给一切传输的 javascript 文件插入一些代码,这些代码的效果即是将用户数据传送到你的服务器上,比方用户在表单中输入的一切数据。
3.【缓存】将修改正的 js 文件的缓存时刻尽可能延伸。
可能发生最坏的工作是什么?
当某能逼迫你加载一个受感染的 js 文件, 那他们能够:
盗取你拜访的网站的登录信息(从登录表单中或 cookies)
盗取你的银行账号或信用卡信息
逼迫你参与 DDOS 进犯,让你的浏览器一秒钟内加载一个网站几百次,经过 iframe 或 script(脚本)来发送恳求。
根本你上网做的任何工作都能看到(包括你阅览时鼠标的位置)
https
假如你的网站加载了一些不安全的资本(比方从一个 http 站点加载 jquery),那该方法在 https 链接上也能生效。大多数浏览器都会提示你,有些甚至会阻止你拜访不安全的内容,可是没有人注意到浏览器地址栏中“锁”的符号。
举个例子
安全:a1279bf58d
不安全:9f0d9fc0ce
在介绍中,Chema 说他将修改正的服务器 IP 地址发布到网络上,几天后就有 5000 多人运用这个代理。大多数运用代理的人都是为了做坏事,因为他们都知道运用了代理在网络上就成为匿名了,好像许多人都没有思考过这个疑问:代理相同也能够对他们做一些坏事。
我在想是不是真的那么简略,所以我建了一个运转 Debian(Linux的一个发行版) 的虚拟机,然后努力实现这些概念。

相关文章

最新收录

访问链接已失效 广而告知