缺陷标题 webscantest网站中Search by name域存在框架钓鱼危险。

测试平台与浏览器 Windows 7+Firefox或Chrome。

测试步骤

（1）打开webscantest网站http://www.webscantest.com。

（2）单击页面右下方链接Browser Cache Tests，如图1-13所示。

（3）在Search by name域中输入 iframe src=http://www.webscantest.com/infodb/index.ph 。

（4）单击“提交”按钮。

（5）观察页面元素。

期望结果 不存在框架钓鱼风险。

实际结果 存在框架钓鱼风险，如图1-14所示。

专家点评

一些安全要求较高的网站，往往不希望自己的网页被另外的非授权网站框架包含，因为这往往是危险的，然而不法分子总是想尽办法以“钓鱼”的方式牟利。常见钓鱼方式如下。

（1）黑客通过钓鱼网站设下陷阱，大量收集用户个人隐私信息，然后贩卖个人信息或敲诈用户。

（2）黑客通过钓鱼网站收集、记录用户网上银行账号、密码，盗取用户的网银资金。

（3）黑客假冒网上购物、在线支付网站，欺骗用户直接将钱打入黑客账户。

（4）通过假冒产品和广告宣传获取用户信任，骗取用户金钱。

（5）恶意团购网站或购物网站假借“限时抢购”“秒杀”“团购”等噱头，让用户提供个人信息和银行账号，这些网站主可直接获取用户输入的个人资料、网银账号和密码信息，进而获利。

钓鱼网站主要有两种。一种是主动的钓鱼网站，即高仿网站，专门用于钓鱼。例如，中国工商银行的官网是www.icbc.com，钓鱼网站可能仅修改部分字符，例如修改为www.lcbc.com。从表面上看，钓鱼网站的内容与官网几乎完全一样，甚至弹出来的公告都和常见的页面高度类似。这样当用户在钓鱼网站用银行账户与密码登录后，银行账号与密码就存储到钓鱼网站数据库了，用户的银行账号就不再安全。另一种是网站本身不是专门的钓鱼网站，但由于被其他网站利用，成了钓鱼网站。一个网站如果能被框架，就有被别人网站钓鱼的风险。现在许多钓鱼攻击是合法网站被不法分子利用的情况。 727tp3nI5LUv6fj6LUkG8D1+3rZBzJdsFK/V97eWKDo166mVJGGGpbK0OgTZdVc/