缺陷标题 在testasp网站查询时存在框架钓鱼风险。

测试平台与浏览器 Windows 7+Chrome+Firefox+IE 11。

测试步骤

（1）打开testasp网站http://testasp.vulnweb.com。

（2）单击search。

（3）在文本框中输入 iframe src=http://baidu.com ，单击search posts按钮，如图1-11所示。

期望结果 页面显示警告信息。

实际结果 页面成功通过框架钓鱼，出现百度搜索网站的内容，如图1-12所示。

专家点评

Web应用程序的安全始终是一个重要的议题，因为网站是恶意攻击者的第一目标。黑客利用网站来传播恶意软件、蠕虫、垃圾邮件等。OWASP（开放式Web应用程序安全项目）概括了Web应用程序中最具危险的安全漏洞，但是仍在不断积极地发现可能出现的新的弱点以及新的Web攻击手段。黑客总是在不断寻找新的方法欺骗用户，因此从渗透测试的角度来看，需要看到每个可能被利用来入侵的漏洞和弱点。

HTML代码中的iframe是可用于在HTML页面中嵌入一些文件（如文档、视频等）的技术。对iframe最简单的解释就是，iframe是一个可以在当前页面中显示其他页面内容的技术。

iframe的安全也是一个重要的议题。iframe的用法很常见，许多知名的社交网站都会使用它。使用iframe的方法如下。

该例说明在当前网页中显示其他站点。

该例iframe定义了宽度和高度，但是框架可见度被隐藏了，所以不能显示。由于这两个属性占用面积，所以一般情况下攻击者不使用它。

现在，它完全可以从用户的视线中隐藏了，但是iframe仍然能够正常运行。在同一个浏览器内，显示的内容是共享session（会话控制）的，所以在一个网站中已经认证的身份信息，在另一个钓鱼网站能够轻易获得。 vnJ7jjFpYcQmyTgdWGOI3DQo5mO2xKtdsZhK2nFxIAkMH6SKCAFhqp14RVSCnPhl