一位为另一家公司工作的安全研究人员最近发表了一篇博客文章，称他们有可能针对使用Auth0身份验证的网站用户发动网络钓鱼攻击。请注意，网络钓鱼与黑客攻击代码漏洞不同，因此，由于Auth0的系统中不存在任何缺陷，因此无法应用软件修补程序。让我们来探讨一下这种理论上的网络钓鱼攻击背后的机制，当今科技行业社会工程诈骗的盛行，以及公司及其用户可以做些什么来更好地保护自己。什么是网络钓鱼？网络钓鱼是一种社会工程网络攻击，自上世纪90年代以来一直存在，至今仍极为普遍。网络钓鱼通常从电子邮件开始。电子邮件被发送给目标个人，这些电子邮件包含有恶意意图的链接或附件：要么在用户的设备上安装恶意软件，要么让他们将敏感数据输入伪装成合法的网站。网络钓鱼攻击在现代互联网环境中越来越复杂，其目的是欺骗人们提供受保护的信息，通常是凭据。然而，大数据要学什么，不管复杂程度如何，网络钓鱼的前提仍然非常简单。考虑以下事件序列，例如：服务A（Service-A.com）的用户收到一封看似来自服务A的电子邮件。该电子邮件告诉用户他们需要使用电子邮件中的链接登录。用户点击这个链接，就会进入恶意服务a.com的登录页面（而不是service-a.com上的真实网站）。页面的样式看起来像来自服务a的合法页面，因此用户在登录表单中输入他们的凭证。这些凭证随后被提供给攻击者，攻击者现在可以使用受害者被盗的登录信息访问真实的服务A。此外，由于密码重用的常见做法，攻击者甚至可以访问受害者在其他网站上持有的其他帐户。这只是网络钓鱼诈骗流的一个可能的例子。攻击者可以很容易地请求其他类型的个人信息，或者请求用户下载恶意电子邮件附件。使用Auth0子域的网络钓鱼安全研究人员的网络钓鱼骗局背后的具体想法是针对使用Auth0身份验证的网站。Auth0支持区域子域：Auth0.com，欧盟认证0.com和au.auth0.com。一个坏的参与者可能试图通过注册任何其他区域子域，同时使用相同的名称来欺骗使用其中一个子域的网站或应用程序的用户。然后，攻击者可以在他们的子域上设置一个自定义页面，并假设他们可以访问用户的电子邮件地址，向他们发送一个链接并试图从他们那里获取安全信息。类似的诈骗可以尝试使用任何用户可能误认为合法的域名。跨站点脚本（XSS）没有用于网络钓鱼攻击，淘客返利app，这种攻击可以使用Auth0区域子域欺骗用户。XSS描述将恶意脚本注入易受攻击的web应用程序。此探索依赖于在另一个区域的子域中使用自定义Auth0页，但不能注入恶意的跨站点代码。在自定义页面中包含JavaScript是Auth0客户可以使用的一项功能，以实现必要的灵活性。但是，不能从这些页面执行跨站点代码。这种攻击不是新的，也不是唯一的如前所述，网络钓鱼攻击已经存在了几十年：事实上，将近三十年了。他们把这些隐秘的信息泄露给了更狡猾的人，并称之为"行骗者"。在这些骗局中，恶意参与者通常会使用与目标域非常相似的域来使其网络钓鱼尝试更具说服力。这在现在和历史上都是如此。"目前还不清楚为什么研究人员使用Auth0作为针对Auth0的网络钓鱼的常见例子。这里没有漏洞，他们的研究也没有任何新的发现。这只是另一个可能的网络钓鱼的例子。同样也可以用anycompany.com网站网站使用一个相似的域名，然后设置一个登录页面与此相同https://www.anycompamy.com/Login。"–Cesar Cerrudo，全球公认的安全专家和IOActive Labs的CTO没有一家公司的用户有电子邮件地址是不受网络钓鱼欺诈。除了Auth0之外，有成千上万种方法可以对任何公司进行类似的网络钓鱼尝试，这使得这种攻击在科技行业相当普遍。网络钓鱼依赖于欺骗用户网络钓鱼与黑客攻击代码漏洞不同，因此，由于Auth0的系统中不存在任何缺陷，因此无法应用软件修补程序。安全研究人员描述的特定网络钓鱼攻击没有被积极使用。Auth0提供安全措施来帮助防止通过仿冒获取凭据，如单点登录、多因素身份验证和无密码。此外，欧洲云服务器，违反密码保护、暴力保护和异常检测可以帮助减轻网络钓鱼攻击的潜在后果。Auth0还支持使用自定义域，自定义域从应用程序中删除Auth0.com（或区域Auth0.com子域），并替换为您选择的域，大数据公司，这将完全消除攻击者使用Auth0子域执行此诈骗的能力。但是，重要的是要记住，如果攻击者已经掌握了用户的电子邮件地址，则网络钓鱼欺诈非常常见，而且很容易执行。尽管使用Auth0自定义域或注册所有区域Auth0子域可以消除此特定情况下描述的攻击途径，但攻击者仍然可以注册任何与您类似的顶级域名，并试图欺骗您的用户。例如，如果您公司的登录域是登录名.real-公司网站，网络钓鱼攻击可能来自类似的域，例如登录-公司网站. 此外，一个坏的参与者可以很容易地向你的用户发送恶意电子邮件附件。保护您的公司和用户在发现和共享有关安全的信息时，公司及其用户的安全应该是首要关注的问题。不致力于彻底的研究会对客户、用户和一般技术社区产生负面影响。任何实施任何类型身份验证的公司-专有的或使用身份和访问管理平台（如Auth0）的公司都应该有适当的安全措施来减少网络钓鱼攻击。这些做法应包括定期的内部反钓鱼活动和培训，以及多因素身份验证或无密码。还建议监视外观相似的域名。随着网络钓鱼诈骗的泛滥和越来越聪明，意识和培训的重要性不可低估。Auth0文档在几分钟内实现身份验证.灯箱{宽度：100%；高度：100%；位置：固定；顶部：0；左：0；背景：rgba（0，0，0，0.85）；z-指数：9999999；线高：0；光标：指针；}.灯箱图像{光标：指针；余量：0自动；显示：块；}.灯箱图像{职位：亲属；顶部：50%；左：50%；-ms转换：translateX（-50%）translateY（-50%）；-webkit转换：翻译（-50%，-50%）；转换：平移（-50%，-50%）；最大宽度：100%；最大高度：100%；}@媒体屏幕和（最小宽度：1200像素）{.灯箱图像{最大宽度：1200px；}}@媒体屏幕和（最小高度：1200像素）{.灯箱图像{最大高度：1200px；}}.灯箱跨度{显示：块；位置：固定；底部：13px；高度：1.5em；线路高度：1.4em；宽度：100%；文本对齐：居中；颜色：白色；文本阴影：-1px-1px 0#000，1px-1px 0#000，-1px 1px 0#000，1件1件0万件；字体系列："fakt web"，"Helvetica Neue"，Hevetica，大数据用什么数据库，sans serif；字号：18px；}.lightbox.videowrapper容器{职位：亲属；顶部：50%；左：50%；-ms转换：translateX（-50%）translateY（-50%）；-webkit转换：翻译（-50%，-50%）；转换：平移（-50%，-50%）；最大宽度：900px；最大高度：100%；}.lightbox.videoWrapperContainer.videoWrapper容器{高度：0；线高：0；余量：0；填充：0；职位：亲属；填充底部：56.333%；/*自定义*/背景：黑色；}.lightbox.videoWrapper iframe{位置：绝对；顶部：0；左：0；宽度：100%；高度：100%；边框：0；显示：块；}.lightbox上一页，.lightbox下一个{高度：50px；线高：36px；显示：无；顶部边缘：-25px；位置：固定；顶部：50%；填充：0 15px；光标：指针；文字装饰：无；z指数：99；颜色：白色；字号：60px；字体系列："fakt web"，"Helvetica Neue"，Hevetica，sans serif；}.灯箱画廊#上一页，.灯箱画廊#下一个{显示：块；}.lightbox上一页{左：0；}.lightbox下一个{右：0；}.lightbox关闭{高度：50px；