1. 极安网首页
  2. 网络安全技术

二维码钓鱼思路

前段时间看到了关于二维码劫持的几篇文,认真研究了一下,发现大家的观点不太一致的,今天和各位师傅分享一下,一起来认识一下二维码登录认证机制,看看二维码登录劫持到底是怎么回事,如何轮询劫持二维码进行钓鱼操作。(如有不足,欢迎补充)

登陆场景

看了某文后,经验证发现,市面上基本分为下面三种登录场景模式,在我理解下具体区别为关于登陆认证是否严谨。

  • 扫描二维码登录pc系统

手机端已登录的前提下,扫描网页二维码,自动登录网页版,根据服务端自有认证体系与账户绑定登录,如微信app登录扫描登录网页版app,利用oauth体系,实现PC端自动登录,无需点击登录确认等操作。

  • 二维码双因素认证

如微信公众号平台,在账户密码登录PC端的情况下,且手机端微信登录前提下,扫描二维码进行确认,登录网页版。

  • Secure or login (sqrl)

直接使用扫描二维码登录,无需账户密码登录。登录步骤:

二维码钓鱼思路-极安网

  1. 打开pc端获取二维码图像,请求服务端登录,服务端生成二维码,并生成pc端唯一标识,比如sessionid,uuid等。
  2. pc端开始轮询,获取二维码后,为保证二维码保持有效状态,持续请求。状态为:new,scaned,confirmed,refused,expired注意:轮询是为了保证其有效性,不断发送请求二维码,根据返回状态判断是否能用,说白了就是保证二维码可以扫描,不失效。
  3. 手机端扫描二维码,在手机端已登录情况下,扫描网页二维码,二维码状态变为已扫描,并提示手机端点击确认登录。
  4. 在确认点击登录后,二维码状态变为确认。
  5. 此时完成与pc端登录连接,不再询二维码。

二维码钓鱼思路-极安网

本文转载:酒仙桥六号部队,不代表 极安网 立场,转载请注明出处:https://secvery.com/908.html