1.8　实验#8：crackme网站有框架钓鱼风险

缺陷标题　crackme网站登录界面的表单隐藏域hUserType存在框架钓鱼风险。

测试平台与浏览器　Windows 10+Firefox 49.0.2。

测试步骤

（1）打开crackme网站http://crackme.cenzic.com/。

（2）单击Login，如图1-15所示。

（3）输入无效的登录信息，例如user ID为a，password为a。

（4）打开Firefox的Tamper Data工具，单击Start Tamper，单击Login，如图1-16所示。

（5）Tamper Data弹出Tamper with request对话框，不勾选Continue Tampering，单击Tamper按钮，如图1-17所示。

（6）弹出Tamper Popup对话框，在hLoginType域中填写＂iframe src=http://www.gzpyp.edu.cn，如图1-18所示。

（7）单击“确定”按钮。

期望结果　不存在框架钓鱼风险。

实际结果　存在框架钓鱼风险，结果如图1-19所示。

专家点评

---

本例详细讲解如何利用Firefox中的Tamper Data工具篡改隐藏域表单中的数据进行钓鱼攻击。在实际的攻击测试中，每种输入都有可能被利用进行攻击，即使页面看不到的隐藏域也是如此。这要求开发者一定要做所有数据的输入有效性检验，否则就会使网站处于危险之中。

互联网活跃的钓鱼网站传播途径主要有以下8种。

（1）通过QQ、MSN、阿里旺旺等客户端聊天工具发送传播钓鱼网站链接。

（2）在搜索引擎、中小网站投放广告，吸引用户单击钓鱼网站链接，此种手段常被假医药网站、假机票网站使用。

（3）通过E-mail、论坛、博客、SNS网站批量发布钓鱼网站链接。

（4）通过微博、Twitter中的短链接散布钓鱼网站链接。

（5）通过仿冒邮件（例如冒充“银行密码重置邮件”）欺骗用户进入钓鱼网站。

（6）感染病毒后弹出模仿QQ、阿里旺旺等聊天窗口，用户单击后进入钓鱼网站。

（7）恶意导航网站、恶意下载网站弹出仿真悬浮窗口，用户单击后进入钓鱼网站。

（8）伪装成用户输入网址时易发生的错误，如gogle.com、sinz.com等，一旦用户写错，就误入钓鱼网站。

如果网站开发人员不懂得Web安全常识，那么许多网站都可能成为一个潜在的钓鱼网站（被钓鱼网站iframe注入利用）。