防二维码骗局科普小知识

如今,骗子既要紧跟科技进步,还要追起社会热点。16年3.15晚会上,“二维码扫描”骗局被集体曝光,他们立马升级套路,瞄准刚走红的共享单车。开锁二维码一换,用户不是稀里糊涂转了账,就是中了手机病毒全家桶。以为扫码开了车锁,其实是打开了自己的小金库。

所以,本篇文章着重介绍关于二维码的相关知识!

1二维码的特性

二维码骗局的产生在于二维码的两个特性:“人人皆可制作和发布”、“用户端不可控”,因此也出现了网络安全角度的问题

2二维码主要形式

当前的二维码主要有三种:

.静态码

活码

小程序码

3二维码漏洞

当前的二维码漏洞主要有两种:

1.钓鱼攻击:

通过覆盖原二维码、劫持原网站、利用原网站漏洞以及社会工程学等,诱导用户进入恶意网站

2.信息劫持:

通过利用二维码扫描端或二维码服务端的漏洞,在传递二维码的过程中,将正常对应的用户与商家的身份认证方向,修改为用户至恶意黑客的方向。

以上为二维码安全的概论,接下来,介绍一下在漏洞挖掘中,我们发现的一种新型的基于二维码的钓鱼攻击方式。

我们正常生成一枚二维码,使用的是如下方式:

$("#code").qrcode({

render: "table", //table方式

width: 200, //宽度

height:200, //高度

text: "www.helloweba.com" //任意内容

});

但我们发现,在一些网站生成二维码的接口处,由于并没有做充分的限制,导致二维码可以被任意生成。

将二维码扫描后跳转的URL设定为恶意网站的URL,而网址安全检测会认定该URL隶属于生成二维码的网站,比如:http://pan.baidu.com/share/qrcode?w=150&h=150&url=http://www.windpunish.net

http://ws.xoyo.com/core/qrcode/generate?text=http://www.windpunish.net

在百度与金山的这两个生成二维码的URL上,我们使其跳转为我们设定的网站。通过这样的方式,诱导用户扫描后进入网站,可以作为一种特殊的钓鱼攻击形式。

说到底,二维码就像一扇门。敲门之前先看看周围环境,穷街陋巷里点着粉灯,看着就不太正经的,还是绕着走为妙。

文|环宇繁星

每天推送信息安全小知识,守护信息安全

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180124A0H8BC00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券