Evilginx 的创建者告诉我们:
早在 2017 年,我就尝试从一个浏览器中提取 cookie 并将其导入另一个浏览器。
我意识到这种技术可以有效地接管帐户,绕过对凭证甚至 MFA 授权的需求。
这一发现让我考虑通过代理目标用户和网站之间的 HTTP 流量来远程执行此类攻击的可能性。
我使用 Nginx 结合 LUA 脚本构建了一个概念验证来测试这个想法。这个项目最终演变成 Evilginx v1.0。
当 Evilginx v1.0 发布时,使用反向代理的概念并不新鲜。然而,它的与众不同之处在于,它是第一个公开可用的工具,可以揭露 MFA 的漏洞,即使在像 Google 这样的高调平台上也是如此。
它的独特之处在于它引起了人们的关注——它引起了很大的轰动。
事实上,这个工具本身并没有什么前沿性;它的影响力来自于它如何突出一个关键的安全漏洞。
Evilginx 的作者强调,该项目展示了熟练攻击者可能采用的技术。
作者声称,防御者有责任考虑此类威胁并制定策略来保护用户免受此类网络钓鱼攻击。
Evilginx 仅用于在获得目标方明确书面许可的情况下进行的合法渗透测试任务。
Evilginx 可在GitHub上免费下载。
独立的中间人攻击框架,用于钓鱼登录凭据以及会话 cookie,从而允许绕过双因素身份验证。
https://github.com/kgretzky/evilginx2
