关于昨晚的钓鱼测试。

在<a>标签中有一个target属性
target属性有四个值:
      _blank -- 在新窗口中打开链接
      _parent -- 在父窗体中打开链接
      _self -- 在当前窗体打开链接,此为默认值
      _top -- 在当前窗体打开链接,并替换当前的整个窗体(框架页)
下图中可以看到<a>标签中使用的是 target="_blank"的属性。
也就是说你点我发的链接 会在新窗口中打开链接。新窗口称为子窗口,原来窗口称为父窗口。这时你的页面会自动跳转到子窗口。

1.png



子窗口的源码是这样的   window.opener 是在新打开的子窗口 操作父窗口的 一个方法。不懂的自行百度。
当你打开子窗口的时候 js调用window.opener方法 使 父窗口跳转到我伪造好的一个 zone登录页面。

2.png


这里可以看到 ip已经是我服务器的ip,这是伪造的 zone登录页面。不要问我怎么伪造的·······


3.png


然后在接收你输入的账号名密码。
如果我在把那篇文章给copy下来  你会发现你看了好长时间文章之后 想在回去看zone的时候发现让重新登录了。。。。。
就会有那么一群人真的输入账号密码了·······
由于你之前已经登录过zone,本地存有cookie,不管你在钓鱼页面输入任何的账号密码。哪怕是错的也会在给你重新跳转回去·····

这个问题 宝哥 已经解决了 ,加了一个这样的属性。这个属性是干嘛的呢? www.baidu.com

4.png



如果你还想复现一下昨晚的环境 那你就点下边的相关链接 。你会惊奇的发现 竟然TM 的又跳转了········

宝哥别打我  我是无辜的 ······
救命啊····

 
已邀请:

糖醋黄瓜 - 没有蕾姆看我要死了!

赞同来自:

6666

mentor - 是您订的外卖吗?请开下门

赞同来自:

真漂亮

复活甲 - 我看到了你的隐私........

赞同来自:

恩~

wukong - 66+88=68

赞同来自:

66666

wukong - 66+88=68

赞同来自:

怎么感觉防御不聊啊

Daisy - 伪三无,伪装者...

赞同来自:

就会有那么一群人..那么一群人..一群人..

kakaxi - 人生保持空杯,你将成为最强的人,最可怕的不是对手,而是自己

赞同来自:

不错,赞一个

akiss123 - 9090 IT

赞同来自:

赞!

要回复问题请先登录注册