黒式钓鱼总战略！

网络钓鱼(Phishing，与钓鱼的英语fishing发音相近，又名钓鱼式攻击)是通过电子邮件或即时通讯工具，大量发送声称来自于银行或其他知名机构的欺骗性信息，意图引诱收信人给出敏感信息（如用户名、口令、帐号ID、PIN码或*详细信息）的一种攻击方式。一、钓鱼攻击原理　　最典型的网络钓鱼攻击是将收信人引诱到一个通过精心规划与目标组织的网站非常相似的钓鱼网站（官方外观的假冒网站）上，冒充真正需要信息的值得信任的人，并欺诈性地获得收信人在此网站上输入的个人敏感信息（比如口令和*细节），尽管在安全技术人员眼里“网络钓鱼”只是小菜一碟。但在最近几年中“网络钓鱼”在全国范围内变得非常猖獗，数量急剧攀升。作者就在此为大家介绍以下几种常见的“网络钓鱼”手法，希望广大网民在进行网络冲浪时，能提升自我防范意识，并格外警惕落入“网络钓鱼”*陷阱，钓鱼攻击的原理。二、TOPl邮件钓鱼攻击　　邮件钓鱼的关键技术为匿名邮件技术与跨站技术。匿名邮件技术可以伪装任意邮件*，例如要伪装邮件客服，就可以将邮件*伪装成邮箱，然后借助跨站技术伪装一个输入密码的页面，让用户信以为真，乖乖送上自己的密码。　　小小的测验一下，邮件是否收到了呢？我们来登录我们的邮箱。　　发送成功，那么下面开始说说如何利用匿名邮件，网络上很多相似伪造发件人的东东，比如“fastmail邮件特快专递”。原理都差不多只要最后达到我们的目的就好了。这是作者遇到的实例。　　因为现在网民安全意识逐步提升，像这样的钩鱼链接太异常，很少有人会上当。常见的把钓鱼网站链接放入邮件，对于一般网民没什么效果，所以我们可采用迂回战术。对于一般邮件来说都可以进行HTML模式编辑，这里我们可以利用这种模式编辑。在HTML中利用超级链接“a标签”用此代码来编写一个HTML超链接，放入邮箱是什么效果呢？这样我们在配合适当的语言渲染下发送给受害者，效果就会好很多！又有人会问，现在很多网民都安装了相关安全软件，比如XX安全卫士、XX网盾等等都带反钓鱼功能，但是经过作者分析，很多安全软件都是针对钓鱼网站URL加人数据库。如果用户打开这样的网站就会出现报警界面。那么如何突破呢？这个问题很好，作者这里给出我个人思路“Url跳转漏洞”三、Url跳转漏洞助钓鱼“一臂之力”　　1、什么是Url跳转漏洞　　此漏洞让用户访问恶意网站而不自知。因为Web使用程序接收到用户提交的URL参数后，没有对参数做“可信任URL”的验证，就向用户浏览器返回跳转到该URL的指令。　　2、实例　　一般来说这样URL大部分网民一眼看估计是google的网站URL，可能都会点击去看看。这样就更好帮助钓鱼攻击泛滥。　　3、如何防御　　综上所述基本都是作者对邮件钓鱼攻击个人见解，如果有不到位的地方可以一起讨论。这里作者告诉大家以下几种防范方式。个人用户的建议：　　(1)提升警惕，不登录不熟悉的网站，键入网站*的时候要校对，以防输入错误误人狼窝，细心就可以发现一些破绽。　　(2)不要打开陌生人的电子邮件，更不要轻信他人说教，特别是即时通讯工具上的传来的消息，很有可能是*发出的。　　(3)安装杀毒软件并及时升级*知识库和*作*补丁。　　(4)将敏感信息输入隐私保护，打开个人防火墙。　　(5)收到不明电子邮件时不要点击其中的任何链接。登录银行网站前，要留意浏览器*栏，如果发现网页*不能修改，最小化IE窗口后仍可看到浮在桌面上的网页*等现象，请立即关闭IE窗口，以免账号密码被盗。企业用户的建议：　　(1)安装杀毒软件和防火墙。　　(2)加强电脑安全管理，及时更新杀毒软件，升级*作*补丁。　　(3)加强员工安全意识，及时培训网络安全知识。　　(4)一旦发现有害网络，要及时在防火墙中*它。　　(5)为避免被“冒名”，可以加大制作网站的难度。具体办法包括：不运用弹出式广告、不隐藏*栏、不运用框架等。这种防范是必不可少的，因为一旦网站名称被“网络钓鱼”者利用的话，企业也会被卷进去，所以应该在泛滥前做好准备。

整理分享黒式钓鱼总战略！ ，希望有所帮助，仅作参考，欢迎阅读内容。

内容相关其他词:,内容如对您有帮助，希望把内容链接给更多的朋友！

四、跨站技术滋生的钓鱼攻击　　1、什么是跨站漏洞攻击　　业界对跨站攻击的定义如下：“跨站攻击是指入侵者在远程WEB页面的HTML代码中，*具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的恶意脚本就会执行。”由于HTML语言允许运用脚本进行简单交互，入侵者便通过技术手段在某个页面里*一个恶意HTML代码，例如，保存的用户信息(Cookie)，由于Cookie保存了完整的用户名和密码资料，用户就会遭受安全损失。如这句简单的Javascript脚本就能轻易获得用户信息：aler(document.cookie)，它会弹出一个包含用户信息的消息框。入侵者运用脚本就能把用户信息发送到他们自己的记录页面中，稍做分析便获得了用户的敏感信息。　　2、跨站攻击是如何滋生钓鱼攻击的　　相信大家肯定见过跨站也就是xss，有些朋友可能会不以为意，其实他危害还是相当大的。一般来说，还经常伴随着页面变形的情况。而所谓跨站脚本执行漏洞，也就是通过别人的网站达到攻击的效果，这种攻击能在一定程度上隐藏身份。虽然XSS漏洞攻击方式很多，但是我们今*题是钓鱼攻击。　　这是一个*表单，这里没有SQL注入，现在我们就可以利用当前发现的XSS漏洞开工了。我们需要的信息：　　*表单”userslogin”　　用户名文本域”userslogin.user”　　密码文本域”useslogin.pass”　　如果页面中包含*表单与搜索引擎，可以通过*提交的数据，使其发送到我们控制的远程主机上建立的网页，而非“somepage.php”。我们可以将恶意构造的URL链接发送给别人，让他们*，现在我们已经知道接下来该怎么做了，代码我就不贴出来了，有需要的朋友可以找我要。　　下面这段代码可以将*认证提交给在页面主体内容中创建的隐藏的iframe，并加载其它恶意PHP脚本，以获得用户名与密码并保存它们。老规矩要代码可以来找我。　　这些代码很容易理解：获得*用户名与密码，并写入一个文件中。给合这两个恶意脚本，攻击者就可以利用这“小小”（管理员经常这样认为）的漏洞，获得重要的认证信息，使通过WEB程序验证成为可能，当然，这只是举个例子！　　一般情况下直接进行相似alert(document.cookie)之类的攻击没有什么问题，但是有时CGI程序对用户的输入进行了一些处理，这时我们就需要运用一些小技巧来绕过这些*。如果你对HTML语言比较熟悉的话，绕过这些*应该不成问题。(xss部分代码来源于网络版权归原作者所有)　　3．如何防御跨站攻击　　要避免受到跨站脚本执行漏洞的攻击，需要程序员和用户两方面共同努力：程序员：　　(1)过滤或转换用户提交数据中的HTML代码。　　(2)*用户提交数据的长度。用户：　　(1)不要轻易访问别人给你的链接。　　(2)禁止浏览器运行JavaScript和ActiveX代码。　　附：常见浏览器修改设置的位置为　　IntemetExplorer:　　工具-Internet选项-安全-Internet-自定义级别　　工具-Internet选项一安全-Intranet-自定义级别　　Opera:　　文件——快速参数一允许运用Java　　文件——快速速参数一允许运用插件　　文件——快速速参数-允许运用JavaScript五、软件钓鱼　　软件钓鱼这种钓鱼方式没有前两种犀利，个人感觉有点鸡肋（守株待兔的感觉）。就是制造好一个软件然后发布在网络上，等待别人下载触发里面事件*了你的账号。防范方式：　　文章写到这里就要结束了，作者还是要提醒一下软件钓鱼攻击，一般只存在于想对某游戏或者某使用程序进行投机取巧的*作，所以作者建议，尽量少用*和来源不清楚*力高的软件，天下没有免费的午餐。有需要输入个人信息的（比如游戏的账号密码，定位器号码等）更需要慎重。