釣魚網站怎么制作(基于JXWAF怎么快速搭建釣魚網站)

一、前言

前段時間為了加強內部安全意識,需要進行釣魚郵件演練,于是通過JXWAF快速搭建了一個釣魚網站,發現效果不錯,特此分享。

二、規則配置

首先假設攻擊場景為獲取公司內部OA賬號,內部OA域名為oa.testing.com。那么第一步就是注冊域名,比如去萬網注冊釣魚域名oa.testlng.com,地址指向為釣魚網站IP地址。

為了方便這里以DVWA來當成OA進行演示。

先來分析登陸成功和登陸失敗的特征

登陸失敗

登陸成功

如圖,登陸失敗和登陸成功的區別在于response中Location的指向,失敗指向為login.php,成功指向為index.php,那么我們就以此為特征來設置兩條規則,一條識別登陸失敗的賬號,一條來識別登陸成功的賬號,當然也可以不用這么精細,直接設置規則記錄輸入的賬號密碼。

分析結束,接下來是搭建JXWAF及配置規則,搭建可以參考 https://github.com/jx-sec/jxwaf,規則配置如下:

登陸JXWAF,在自定義規則組中新建規則組 "釣魚專用規則"

先來設置第一條規則(不建議用這種方式),無論登陸成功失敗直接記錄輸入賬戶密碼,這是釣魚網站通常的做法,因為他們沒有用戶數據庫,也就只能這么處理了。規則配置如下,比較簡單

結果如下:

設置第二條規則,只有驗證用戶名密碼失敗時才記錄(不截圖直接放規則)

{

• "rule_action": "deny",

• "rule_category": "其他",

• "rule_update_category": "resp",

• "rule_log": "true",

• "rule_serverity": "high",

• -
  "rule_matchs": [],

• -
  "rule_transform": [],

• -
  "rule_vars": [],

• "rule_operator": "rx",

• "rule_pattern": "login.php$",

• "rule_negated": false

• "none"

• "rule_var": "RESP_HEADERS",

• -
  "rule_specific": []

• "Location"

• -
  {}

• -
  "rule_transform": [],

• -
  "rule_vars": [],

• "rule_operator": "rx",

• "rule_pattern": "POST",

• "rule_negated": false

• "none"

• "rule_var": "REQUEST_METHOD"

• -
  {}

• -
  "rule_transform": [],

• -
  "rule_vars": [],

• "rule_operator": "rx",

• "rule_pattern": "login.php$",

• "rule_negated": false

• "none"

• "rule_var": "URI"

• -
  {}

• -
  {},

• -
  {},

• -
  {}

• "rule_id": "10011",

• "rule_detail": "記錄用戶登陸失敗賬號密碼"

}

結果如下:

設置第三條規則,只有驗證用戶名密碼成功時才記錄(不截圖直接放規則)

{

• "rule_action": "deny",

• "rule_category": "其他",

• "rule_update_category": "resp",

• "rule_log": "true",

• "rule_serverity": "high",

• -
  "rule_matchs": [],

• -
  "rule_transform": [],

• -
  "rule_vars": [],

• "rule_operator": "rx",

• "rule_pattern": "index.php$",

• "rule_negated": "false"

• "none"

• "rule_var": "RESP_HEADERS",

• -
  "rule_specific": []

• "Location"

• -
  {}

• -
  "rule_transform": [],

• -
  "rule_vars": [],

• "rule_operator": "rx",

• "rule_pattern": "POST",

• "rule_negated": "false"

• "none"

• "rule_var": "REQUEST_METHOD"

• -
  {}

• -
  "rule_transform": [],

• -
  "rule_vars": [],

• "rule_operator": "rx",

• "rule_pattern": "login.php$",

• "rule_negated": "false"

• "none"

• "rule_var": "URI"

• -
  {}

• -
  {},

• -
  {},

• -
  {}

• "rule_id": "10012",

• "rule_detail": "記錄用戶登陸成功賬號密碼"

}

結果如下:

上述就是小編為大家分享的基于JXWAF怎么快速搭建釣魚網站了,如果剛好有類似的疑惑,不妨參照上述分析進行理解。如果想知道更多相關知識,歡迎關注本站行業資訊頻道。