浏览器中间人

攻击者可以利用浏览器软件中的安全漏洞和固有功能来更改内容、修改行为和拦截信息，作为浏览器中间人技术的一部分。

一个具体的例子是，当攻击者将软件注入浏览器时，浏览器允许他们继续使用用户的 cookie、HTTP 会话和 SSL 客户端证书，并将浏览器作为一种转向已验证的内网的方式。

浏览器代理 (Browser pivot) 需要 SeDebugPrivilege 和一个高完整性的进程来执行。 通过设置 HTTP 代理（将重定向任何 HTTP 和 HTTPS 流量），将浏览器流量从攻击者的浏览器转向用户的浏览器。 这不会以任何方式改变用户的流量。 一旦浏览器被关闭，代理连接就会中断。 无论将代理注入哪个浏览器进程，攻击者都承担该进程的安全上下文。 浏览器通常为打开的每个选项卡创建一个新进程，并相应地分离权限和证书。 有了这些权限，攻击者可以浏览任何可以通过浏览器访问的内网资源，以及浏览器具有足够的权限，比如 Sharepoint 或 webmail。 浏览器代理 (Browser Pivot) 还消除了双重因素身份验证提供的安全性。

缓解

由于需要高完整性的进程启动浏览器代理，因此限制用户权限、处理权限升级和绕过用户帐户控制机会可以限制该技术的使用。 在不需要时或定期关闭所有浏览器会话。

检测

该技术难以检测，因为攻击者流量隐藏在普通用户流量中。 没有创建新进程，也没有额外的软件接触磁盘。 身份验证日志可用于审计特定 web 应用程序的登录，但如果活动与典型用户行为匹配，则很难确定恶意登录还是良性登录。 监视针对浏览器应用程序的进程注入