oscar 的部落格

Term Project Report 496511633

 

是逛網站, 你不知道的事  (third party content ,local storage)

動機 

因為一篇文章, 所以我去尋根究底

 

文章內容是介紹BetterPrivacy

BetterPrivacy is a Firefox plug-in

功能是幫你「自動清理」那些瀏覽器也刪不掉的超級追蹤記錄, 尤其特指經由Flash程式產生的用戶追蹤檔案。 

 

 

Cookies

[F10_WebHack] POST 3 496511633 facebook上釣魚網站

 

最近發現在facebook上的鈎魚網站,

雖然在facebook本來就不少這種,

但本身我自己是不會去碰可疑的link

但因為我借別人電腦

他中了才告訴我==...

因為他很害怕,不知會發生甚麼事

下面就為facebook上面的畫面

 

 

fortube== 怎麼看都很假

為甚麼還點下去尼

然後.....

把電腦的已存passwd清掉,再改一改有存網站passwd

然後在電腦沒有登入任何網站下

用firefox加noscript,firebug看看他有跑甚麼應用

第一個主畫面.....就有iframe ==

是把main.php包起來

main底下又一個javascript 

[F10_WebHack] Lab2 496511633

首先安裝Paros

設定proxy 127.0.0.1 8080

用ie test http://140.136.150.78/utw/

用Paros 半自動的掃瞄(需先登入才能得到完整的scan結果) 

然後使用網站的各個功能

最後點analyse > scan

report > last scan report

出來發現以下的問題

以及解決方法

1.

第一個就是AppServ裡file directory 都顯示出來,

修改方法

x:\AppServ\Apache2.2\conf\httpd.conf

[F10_WebHack] Post 2 496511633 firesheep wifi下盜 facebook twitter ...etc

firesheep wifi下盜 facebook twitter ...etc


firesheep is a firefox plug-in

能夠在無綫網路下,盜用一些人們常用網站的帳號(當然是別人寫好腳本的)

i.e. facebook , twitter etc 

還不知道是甚麼,可以看一下以下的link

http://blog.gslin.org/archives/2010/10/29/2326/%E6%9C%80%E8%BF%91%E5%BE%88%E7%B4%85%E7%9A%84-firesheep

[F10_WebHack] Lab1 496511633 part B

 

RefControl

 

1.為什麼朋友傳給我的圖片連結點下去後時常看不到呢?

因為網站有防盜連機制,來過去的Referer不是它原本的網站

2.網站開發者是如何知道我從哪裡連過來的?

看Referer

3.如果不使用RefControl,可以如何修改Referer的值?

Tampar Data, Burp Suite

4.如果網站開發者開發管理介面時,只參考Referer值來做連結現制會造成什麼後果?

如果這樣別人很容易模擬成開發者

5.Referer這個單字是不是拼錯了?

[F10_WebHack] Lab1 496511633 part D

 

Firebug

 

1.如何利用Firebug來輔助JavaScript程式設計時的除錯?

因為可以直接在javascript中print出來值來觀看間中內容,而且直接修改html直接就有結果show出來

2.請額外安裝一種Firebug的附加元件,測試使用後描述該Firebug附加元件功能。

Firebug附加元件YSlow

就如其名一樣,為甚麼會慢尼?網站分析工具,就如下圖整個網站要下載k,有cache和沒有cache都很清楚的標出來,很不錯的分析軟件,也有分數,網站包含的各部分(javascript,css,iframe...),都清楚列出來,使用多少size等,很clear

[F10_WebHack] Lab1 496511633 part C

FoxyProxy

 

1.為何要使用代理伺服器,常用於何種狀況?

A 電腦去問B 電腦上有沒有這資料,有的話直接拿b的沒有的話b去幫a抓,所以連出去的為b ip.proxy可以緩解多使用者連常用網站所使用的資源問題.

2.使用代理伺服器瀏覽網頁資料有什麼好處與壞處?

vantage可以緩解多使用者連常用網站所使用的資源問題.

Disvantage 服務器可能禁止一些連結或一些行為

3.從資訊安全的角度出發,代理伺服器對攻擊者有何種好處?

作為一個跳板,像是在人群中發暗箭一樣,雖然在proxy sever可以找出那個ip使用proxy去攻擊

頁面