送漏洞的网络钓鱼
/ / 点击 / 阅读耗时 5 分钟一个简单的钓鱼
可能有同学有看到我发的微博,我发了一张图片。
说实在的,我真心喜欢这种发钓鱼链接给我的,因为这意味着给我送一个漏洞,然后又让我了解到一种钓鱼方式,其实一个好的钓鱼,就跟黑客思想一样,各种猥琐的思维和利用。不过对于这种钓鱼,一般我了解完,直接提交漏洞,举报钓鱼URL(好像有点坏,不过这样避免不懂的同学上当受骗)。
来分析下这个钓鱼,其实这个网址一看就知道,虽然百度的网址,但是一看就能看出来,这是一个跳转,利用了百度的URL跳转漏洞,明显是来送漏洞的嘛。。。实际网址就是后面那个网址,我们来分析下代码,直接查看源码:
这是一个简单的跳转,没其他代码了,提供meta的设置进行跳转,然后我们继续跟踪,这次没有跳转了,是一个视频聊天室网站,我们来看看把。
来看看真实的情况把
看完大家懂了把?其实这还是一个很简单的钓鱼,没什么可说的,主要的目的在于让大家点击然后会下载一个恶意软件,然后接下来你就懂了。反正我就喜欢这种送漏洞的钓鱼,哈哈,像那种很多QQ空间登陆的钓鱼也是类似的,有的甚至网址都没构造,压根就是一个完全不知道什么的网址。其实碰到这种情况,大家不凡查看下源码来看看。
之前回答的一个钓鱼链接的分析,有没有一点击链接加载网页就被盗号的 QQ 账号钓鱼网站?
高级钓鱼
这属于简单钓鱼,这种比较常见,反正对我来说,因为自己是搞恶意网站搞了将近两年,然后搞过引擎研发等,所以这些简单的钓鱼对于我来说一眼就看出来,不过有时候,高级钓鱼就不是那么容易识别的了。来看看以下这个钓鱼,这个因为之前我们公司blog有发过了,我就不说了,直接复制黏贴过来了(原文地址[警惕]高级钓鱼攻击来了:拍拍XSS攻击)
防范
一般这些钓鱼在利用过程中少不了js代码的,挂马也是,所以如果要进行防范,如果不怕麻烦,就安装个Noscript或者类似插件,只给安全的js放行就可以了。