呂守箴(OpenBlue) => 網路攻防戰~資安閒聊群組: 主題：QRLJacking：劫持採用 QR code 的登入手法，並應用在微信 & Whatsapp 壞取帳號權限摘要： SQRL(Secure Quick Response Login)，這是一種基於 QR code 的驗證系統，特點就是可以讓使用者快速地登陸網站，不需要輸入用戶名密碼。何謂 QRLJacking 攻擊手法：(在 OWASP 上的說明) https://www.owasp.org/index.php/Qrljacking 研究員把攻擊方法命名為QRLJacking，這種方法簡單，但影響卻很惡劣，能夠影響到所有那些使用了 QR code 登錄的網站。攻擊者需要做的是讓受害者掃描一個 QR code。影片示範： WhatsApp QRLJacking Vulnerability Demo https://www.youtube.com/watch?v=4QwyBXiZhG0 參考文章： QRLJacking：如何劫持快速登陸時使用的二維碼 http://www.freebuf.com/articles/web/110510.html #5ac6e5983734c633affda2d8

呂守箴(OpenBlue) says to 網路攻防戰~資安閒聊群組

主題：QRLJacking：劫持採用 QR code 的登入手法，並應用在微信 & Whatsapp 壞取帳號權限摘要： SQRL(Secure Quick Response Login)，這是一種基於 QR code 的驗證系統，特點就是可以讓使用者快速地登陸網站，不需要輸入用戶名密碼。何謂 QRLJacking 攻擊手法：(在 OWASP 上的說明) https://www.owasp.org/index.php/Qrljacking 研究員把攻擊方法命名為QRLJacking，這種方法簡單，但影響卻很惡劣，能夠影響到所有那些使用了 QR code 登錄的網站。攻擊者需要做的是讓受害者掃描一個 QR code。影片示範： WhatsApp QRLJacking Vulnerability Demo https://www.youtube.com/watch?v=4QwyBXiZhG0 參考文章： QRLJacking：如何劫持快速登陸時使用的二維碼 http://www.freebuf.com/articles/web/110510.html

at Fri, Apr 6, 2018 11:12 AM