怎么攻击微信公众号?微信公众号如何被攻击?

　　以下是小编整理的怎么攻击微信公众号的一些途径，大家可以通过以下的内容警惕微信公众号被攻击。

　　No.1 无线热点(AP)伪造

　　没有其他攻击的实现会比伪造热点更简单。每个人都使用软件或无线网卡把自己伪造成一个无线热点，然后再把流量天衣无缝地中转到真正的热点上。

　　想想你每次去咖啡厅、机场或者一些公共场所，然后都会连接那里的免费网络。黑客在星巴克可以把它们的伪造热点叫做“星巴克 free

　　wifi”或者在机场可以叫“机场免费热点”，然后几分钟内路人都会很自觉地连到这个“免费热点”上。黑客可以从受害者和远程主机通信的数据流中嗅探出未加密数据。你可能会很惊讶这么多数据，甚至是密码居然都是明文传送的。

　　更邪恶的是黑客可以伪造出一个注册公众号页面，告诉接入伪造热点的微信公众号用户要注册才能使用。普通用户很可能常常会到处用一个通用的账号名或者邮箱以及一个通用密码。黑客然后可以用这些账号和密码的组合在大网站上进行尝试，比如Facebook,

　　Twitter, Amazon, iTunes等等。这些受害者可能还不知道发生了什么。

　　经验：千万不要相信一个公共无线热点。因为有些保密信息也会通过无线网络传输。考虑用VPN传输所有数据，并且不要在公共站点和私有站点重复使用同一个密码。

　　No.2 Cookie窃取

　　Cookie是一个很美妙的发明，它能够记录我们的访问状态。这些小文本，由网站传输给我们的机器，帮助网站或者服务跟踪我们的一个或多个访问，举个例子，让我们更轻松地就能买到牛仔裤(译者注：购物车里面的商品常常存放在cookie中)，我们为什么会不喜欢呢?

　　答：现在越来越多的黑客窃取我们的cookie来冒充我们。当然了，对服务器来说，它们是被授权的，服务器以为它们像我们一样输入了有效的账号和密码。

　　当然，cookie窃取似乎从这个发明诞生就出现了，但是有些工具让这个攻击变得很容易，点几下鼠标就搞定了。比如firesheep，是一个火狐插件让人们可以轻松窃取别人的明文cookie。当接入一个伪造热点或在共享网络中时(译者注：这两种情况可以嗅探其他主机的网络流量)，cookie劫持似乎就更加轻而易举了。firesheep能够显示能找到的cookie的名字和位置，然后只要鼠标一点，就能劫持这个会话(Github地址

　　?中文教程)。

　　更糟糕的是，现在黑客还能凭空嗅探出有SSL保护的cookie。在2011年9月，BEAST攻击被证实可以破解https加密的cookie。经过进一步的改进和完善，出现了CRIME攻击，让窃取和利用加密的cookie更加容易。

　　每新的cookie攻击出现，网站和应用的开发人员被告知如何去保护它们的用户。有些时候，这个答案是使用最新的加密技术，另外一些时候是，禁用一些不常用的特性。这其中的关键点在于网站开发者要安全开发来降低cookie被窃取的可能性，如果你的网站几年都没有更新加密保护措施，那么你可能已经处于风险之中。

　　经验：即使是加密的cookie也是会被窃取的，网站的连接要用最新的加密方式。你的https站点必须使用包括TLS V1.2在内的最新加密措施。

　　No.3 文件名欺骗

　　恶意软件从一开始就使用文件名欺骗来诱引用户执行恶意微信公众号代码。最早的例子是将文件命名成鼓励不知情的受害者去点击(比如美女热图等)，并使用文件的多重后缀来隐藏自己(比如美女热图.jpg.exe)。直到现在，windows和其他的操作系统还是默认地隐藏了臭名昭著的文件后缀，让

　　美女热图.jpg.exe 看起来是 美女热图.jpg。

　　几年前，恶意软件和病毒常是“伴随型病毒”，依赖于windows的一个鲜为人知的特性即使你输入执行病毒.exe，windows仍然会去寻找，如果找到了，直接执行病毒.com来替代。伴随型病毒会寻找硬盘上所有的exe文件，然后创建一个同名的文件，但是是com后缀的。微软很久前就已经修复了这个漏洞，不过这个被早期的黑客用来隐藏病毒，现在种类繁多的病毒感染方式也可以算从这个模式演化过来的(译者注：比如熊猫烧香通过感染PE文件头来感染所有exe文件)。

　　目前一种更复杂的文件名欺骗方式是通过Unicode字符在视觉上去欺骗，现在举个例子，Unicode的RLO控制符可以让文本变成从右到左的模式，这样我们就可以在很多系统里面使用障眼法，把

　　美女微信图片avi.exe 变成 美女热图exe.avi。

　　经验：无论在什么时候，在执行文件之前，都最好确保你看到完整的文件名。

　　以上就是怎么攻击微信公众号的全部内容了，通过以上内容去警惕微信公众号被攻击。