XSS Phishing - 新式跨站脚本攻击方式

　　如图四，帖子页面的代码和内容全变成了“我是来钓鱼的！”

　　想一想，如果我们把info变量的内容变成HTML代码会怎样，如图五

　　嘿嘿，邪恶一点！我们完全可以把页面变成一个自己操纵的登录页面，将表单的值指向远程服务器上的程序，如图六

　　然后远程服务器上的程序将接受表单POST的用户和密码，当然我们可以做巧妙点，让其访问后又转跳回论坛首页，代码如下：

　　最后我们便完成了钓鱼的过程，管理员访问我们的帖子，马上重写当前页面，设置一个重新登录的陷阱，盗取用户名和密码，全部过程只在没有察觉的一瞬间.

　　这类攻击方式危害很大，文中的原始代码只是描叙一下思路，有很多破绽，当然如果你够邪恶的话，完全可以自己重写代码，钓鱼于无形之中。

　　提醒一下，跨站脚本不仅仅是简单的挂马，XSS Phishing（跨站脚本钓鱼攻击）只是一个简单的开始！

上一页  [1] [2]