开发学院网络安全安全技术 利用基于Web的黑客技术造攻击uTorrent客户端 阅读

利用基于Web的黑客技术造攻击uTorrent客户端

 2008-12-12 13:40:12 来源:WEB开发网   
核心提示:uTorrent是一款优秀的BT下载客户端软件,它具有个头小巧,利用基于Web的黑客技术造攻击uTorrent客户端,界面清爽,下载速度快等诸多优点,好了,现在假设用户已经登录,所以广受喜欢用BT下载的用户的欢迎,但是

uTorrent是一款优秀的BT下载客户端软件,它具有个头小巧,界面清爽,下载速度快等诸多优点,所以广受喜欢用BT下载的用户的欢迎。但是,我想要说的是,亲爱的uTorrent用户们,小心了,黑客正在向我们袭来……

人们已经发现了几个CSRF漏洞,将它们组合起来就能对uTorrent的Web用户界面及其底层的系统造成破坏性的打击——攻击者不仅可以强迫uTorrent下载任意的torrents文件,还能把下载后的文件移动到系统中的任意目录下,并最终完全控制受害者的计算机。下面开始介绍黑客们的攻击手法。

一、篡改登录信息

眼下,有越来越多的软件开始采用Web 应用程序接口,例如BitTorrent客户端就是一个很好的例子。人们始料未及的是,web接口通常易于受到攻击,攻击者利用web接口的最大困难只是难于获悉web接口的精确位置。 虽然远程执行代码也是可能的,但是这并非一个非常严重的安全漏洞,因为它难以利用。所以,针对BitTorrent客户端的攻击数量将超过对BitTorrent服务器的攻击。

下面我们详细介绍如何通过跨站请求伪造技术来修改uTorrent的Web用户界面登录信息。我们知道,利用CSRF可以修改Web用户界面所需的用户名和口令,但是攻击者要想修改这些用户名和口令的话,前提是用户已经登录——但是这对于攻击者来说并非难事,通过社交工程就能达到这一目的。

好了,现在假设用户已经登录,那么利用下列精心构造的URL,攻击者就能修改uTorrent管理员登录信息:

http://127.0.0.1:8080/gui/?action=setsetting&s=webui.username&v=badmin

http://127.0.0.1:8080/gui/?action=setsetting&s=webui.password&v=badmin

http://127.0.0.1:8080/gui/?action=setsetting&s=webui.port&v=4096

1 2 3 4  下一页

Tags:利用 基于 Web

编辑录入:爽爽 [复制链接] [打 印]
[]
  • 好
  • 好的评价 如果觉得好,就请您
      0%(0)
  • 差
  • 差的评价 如果觉得差,就请您
      0%(0)
赞助商链接