购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

1.7 实验#7:webscantest网站有框架钓鱼风险

缺陷标题 webscantest网站中Search by name域存在框架钓鱼危险。

测试平台与浏览器 Windows 7+Firefox或Chrome。

测试步骤

(1)打开webscantest网站http://www.webscantest.com。

(2)单击页面右下方链接Browser Cache Tests,如图1-13所示。

图1-13 单击Browser

(3)在Search by name域中输入 iframe src=http://www.webscantest.com/infodb/index.ph

(4)单击“提交”按钮。

(5)观察页面元素。

期望结果 不存在框架钓鱼风险。

实际结果 存在框架钓鱼风险,如图1-14所示。

图1-14 存在框架钓鱼风险

专家点评

一些安全要求较高的网站,往往不希望自己的网页被另外的非授权网站框架包含,因为这往往是危险的,然而不法分子总是想尽办法以“钓鱼”的方式牟利。常见钓鱼方式如下。

(1)黑客通过钓鱼网站设下陷阱,大量收集用户个人隐私信息,然后贩卖个人信息或敲诈用户。

(2)黑客通过钓鱼网站收集、记录用户网上银行账号、密码,盗取用户的网银资金。

(3)黑客假冒网上购物、在线支付网站,欺骗用户直接将钱打入黑客账户。

(4)通过假冒产品和广告宣传获取用户信任,骗取用户金钱。

(5)恶意团购网站或购物网站假借“限时抢购”“秒杀”“团购”等噱头,让用户提供个人信息和银行账号,这些网站主可直接获取用户输入的个人资料、网银账号和密码信息,进而获利。

钓鱼网站主要有两种。一种是主动的钓鱼网站,即高仿网站,专门用于钓鱼。例如,中国工商银行的官网是www.icbc.com,钓鱼网站可能仅修改部分字符,例如修改为www.lcbc.com。从表面上看,钓鱼网站的内容与官网几乎完全一样,甚至弹出来的公告都和常见的页面高度类似。这样当用户在钓鱼网站用银行账户与密码登录后,银行账号与密码就存储到钓鱼网站数据库了,用户的银行账号就不再安全。另一种是网站本身不是专门的钓鱼网站,但由于被其他网站利用,成了钓鱼网站。一个网站如果能被框架,就有被别人网站钓鱼的风险。现在许多钓鱼攻击是合法网站被不法分子利用的情况。 NzdzsP267J6Q8XyChP+pUn73VlpgR7zS+lAyfYMi//ncZfkrA8SRFnxgKiAL2U4Q

点击中间区域
呼出菜单
上一章
目录
下一章
×