如何進(jìn)行二維碼掃碼登錄克星QRLJacker攻擊向量分析及演示

本篇文章給大家分享的是有關(guān)如何進(jìn)行二維碼掃碼登錄克星QRLJacker攻擊向量分析及演示，小編覺得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

QRLJacker，又名Quick Response Code LoginJacking，這是一種簡單但功能強(qiáng)大的攻擊向量，大部分擁有二維碼掃碼登錄功能的Web應(yīng)用程序都會受到這種攻擊向量的影響，這種功能本身是為了提升用戶賬號安全性來設(shè)計的，但攻擊者可以通過劫持用戶會話來破壞這種安全功能。

實(shí)際上，QRLJacking就是一種新型的社會工程學(xué)攻擊向量，而我們設(shè)計的QRLJacking是一款高度定制化的漏洞利用框架，該框架可以用來演示或執(zhí)行“QRLJacking攻擊向量”。

工具演示視頻

工具運(yùn)行截圖

工具依賴

1.Linux或macOS（暫不支持Windows）

2.Python 3.7+

工具安裝

1.將Firefox瀏覽器升級至最新版本；

2.從【這里】獲取最新版本的geckodriver，并提取文件：

chmod +x geckodriversudo mv -f geckodriver /usr/local/share/geckodriversudo ln -s /usr/local/share/geckodriver /usr/local/bin/geckodriversudo ln -s /usr/local/share/geckodriver /usr/bin/geckodriver

3.使用下列命令克隆代碼庫：

git clone https://github.com/OWASP/QRLJackingcd QRLJacking/QRLJacker

4.安裝依賴組件：

pip install -r requirements.txt

5.工具運(yùn)行：

python3 QrlJacker.py --help

工具使用

命令行參數(shù)：

usage:QrlJacker.py [-h] [-r ] [-x ] [--debug] [--dev] [--verbose] [-q]optional arguments:  -h, --help show this help message and exit  -r         Execute a resource file (history file).  -x         Execute a specific command (use ; for multiples).  --debug    Enables debug mode (Identifying problems easier).  --dev      Enables development mode (Reloading modules every use).  --verbose  Enables verbose mode (Display more details).  -q         Quit mode (no banner).

主菜單：

General commands=================       Command               Description       ---------             -------------       help/?                Show this help menu.       os     <command>     Execute asystem command without closing the framework       banner                Display banner.       exit/quit             Exit the framework.Core commands=============       Command               Description       ---------             -------------       database              Prints the core version, check ifframework is up-to-date and update if you are not up-to-date.       debug                 Drop into debug mode ordisable it. (Making identifying problems easier)       dev                   Drop into development modeor disable it. (Reload modules every use)       verbose               Drop into verbose mode or disable it. (Makeframework displays more details)       reload/refresh        Reload the modules database.Resources commands==================       Command               Description       ---------             -------------       history               Display commandline most importanthistory from the beginning.       makerc                Save the most importantcommands entered since start to a file.       resource <file>      Run the commandsstored in a file.Sessions management commands============================       Command               Description       ---------             -------------       sessions (-h)         Dump session listings and displayinformation about sessions.       jobs    (-h)         Displays and managesjobs.Module commands===============       Command               Description       ---------             -------------       list/show             List modules you can use.       use     <module>     Use anavailable module.       info    <module>     Get informationabout an available module.       previous              Runs the previously loadedmodule.       search  <text>       Search for amodule by a specific text in its name or in its description.

模塊菜單：

General commands=================       Command               Description       ---------             -------------       help/?                Show this help menu.       os     <command>     Execute asystem command without closing the framework       banner                Display banner.       exit/quit             Exit the framework.Core commands=============       Command               Description       ---------             -------------       database              Prints the core version and thencheck if it's up-to-date.       debug                 Drop into debug mode ordisable it. (Making identifying problems easier)       dev                   Drop into development modeor disable it. (Reload modules every use)       verbose               Drop into verbose mode ordisable it. (Make framework displays more details)       reload/refresh        Reload the modules database.Resources commands==================       Command               Description       ---------             -------------       history               Display commandline mostimportant history from the beginning.       makerc               Save the mostimportant commands entered since start to a file.       resource <file>      Run the commandsstored in a file.Sessions management commands============================       Command               Description       ---------             -------------       sessions (-h)         Dump session listings and displayinformation about sessions.       jobs    (-h)         Displays and managesjobs.Module commands===============       Command               Description       ----------            --------------       list/show             List modules you can use.       options               Displays options for the currentmodule.       set                   Sets a context-specificvariable to a value.       run                   Launch the current module.       use    <module>      Use anavailable module.       info   <module>      Getinformation about an available module.       search <text>        Search for amodule by a specific text in its name or in its description.       previous              Sets the previously loaded moduleas the current module.       back                  Move back from the currentcontext.

會話命令菜單：

usage:sessions [-h] [-l] [-K] [-s] [-k] [-i] optional arguments:  -h  Show this help message.  -l  List all captured sessions.  -K  Remove all captured sessions.  -s  Search for sessions with a specifed type.  -k  Remove a specifed captured session by ID  -i  Interact with a captured session by ID.

任務(wù)命令菜單：

usage:jobs [-h] [-l] [-K] [-k] optional arguments:  -h  Show this help message.  -l  List all running jobs.  -K  Terminate all running jobs.  -k  Terminate jobs by job ID or module name

存在漏洞的Web應(yīng)用程序和服務(wù)

目前，有很多知名的Web應(yīng)用以及服務(wù)都會受到這種攻擊向量的影響，下面給出的是部分受影響的應(yīng)用：

聊天應(yīng)用：WhatsApp、微信、Line、微博、QQ；

郵件服務(wù)：QQ郵箱（個人和企業(yè)）、Yandex Mail；

電子商務(wù)：阿里巴巴、Aliexpress、淘寶、天貓、1688.com、阿里媽媽、淘寶旅行；

網(wǎng)絡(luò)支付：支付寶、Yandex Money、財付通；

Yandex服務(wù)：YandexPassport（YandexMail、Yandex Money、Yandex Maps、Yandex Videos等等）；

移動管理軟件：AirDroid；

其他服務(wù)：MyDigiPass、Zapper & ZapperWordPress Login by QR Code插件、Trustly App、Yelophone、Alibaba Yunos。

以上就是如何進(jìn)行二維碼掃碼登錄克星QRLJacker攻擊向量分析及演示，小編相信有部分知識點(diǎn)可能是我們?nèi)粘９ぷ鲿姷交蛴玫降?。希望你能通過這篇文章學(xué)到更多知識。更多詳情敬請關(guān)注億速云行業(yè)資訊頻道。