Iframe框架钓鱼攻击_iframe攻击原理

实验三 Iframe框架钓鱼攻击与防护

@YEHUDA_实验,java依赖,算法-CSDN博客

1.实验目的

(1) 了解钓鱼攻击的概念和实现原理；

(2) 了解Iframe钓鱼网站和正常网站的区别；

(3) 复现Iframe漏洞攻击，并掌握一定的防护手段。

2. 实验原理

2.1什么是钓鱼网站？

钓鱼网站是指那些假扮成合法网站的虚假网站，旨在诱骗用户提供个人信息、账号密码、财务信息等敏感信息。这些网站通常会模仿知名的银行、电子支付平台、电子邮件服务提供商等机构的网站，以迷惑用户并诱使他们输入敏感信息。一旦用户在这些钓鱼网站上输入了信息，这些信息就可能被不法分子获取并用于欺诈、盗窃或其他非法活动。

钓鱼网站的特点包括：

伪装性：钓鱼网站通常会模仿合法网站的外观和设计，使用户很难分辨真伪。

诱导性：钓鱼网站通常通过虚假的邮件、短信或社交媒体链接等手段诱导用户点击链接访问，以达到诈骗目的。

窃取信息：一旦用户在钓鱼网站上输入了个人信息、账号密码等敏感信息，这些信息就可能被不法分子窃取并用于非法活动。

为了防范钓鱼网站的风险，用户可以注意以下几点：

注意邮件和短信的来源，避免点击可疑链接。

在访问银行、支付平台等网站时，确保网址正确，使用书签或手动输入网址。

谨慎对待要求输入个人信息的网页，尤其是通过邮件或短信链接跳转的页面。

同时，网络安全软件和浏览器也通常会提供钓鱼网站识别和防护功能，用户可以及时更新这些软件来提高网络安全水平。

3.实验环境

3.1基础环境配置

环境配置以本人为例：JDK8、Mysql8.0

在能够运行javaweb项目的基础上实现

可参考CSDN链接：实验一MYSQL注入

MYSQL注入-CSDN博客

3.2导入依赖

版本version可以自行调节

 <dependencies>
	<!-- https://mvnrepository.com/artifact/javax.servlet.jsp.jstl/jstl -->
     <dependency>        
     <groupId>javax.servlet</groupId>        
     <artifactId>jstl</artifactId>        
     <version>1.2</version>    
     </dependency>    
     <!--    Java企业平台的基础web规范-->    
     <dependency>        
     <groupId>javax.servlet</groupId>        
     <artifactId>javax.servlet-api</artifactId>        
     <version>3.1.0</version>        
     <scope>compile</scope>    
     </dependency>    
     <!-- https://mvnrepository.com/artifact/mysql/mysql-connector-java -->    
     <dependency>        
     <groupId>mysql</groupId>        
     <artifactId>mysql-connector-java</artifactId>        
     <version>8.0.12</version>    
     </dependency>
 </dependencies>

*依赖问题：进入项目的结构中，查看依赖是否成功导入*

若有问题见CSDN链接：javaweb项目依赖问题篇一-CSDN博客

4.实验步骤

(1) 前端界面设计，结果如图1所示

图 1 创建两个前端界面

(2) 后端代码编写，结果如图2所示：

通过前端传过来的p值，执行不同的方法

图 2 后端代码图

(3) 后端代码编写1，结果如图3所示：

当前端传过来的值为InY时，执行doNInframe方法，无防护后端代码

图 3 后端无防护代码图

(4) 后端代码编写2，结果如图4所示：

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

本人从事网路安全工作12年，曾在2个大厂工作过，安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过，对这个行业了解比较全面。

最近遍览了各种网络安全类的文章，内容参差不齐，其中不伐有大佬倾力教学，也有各种不良机构浑水摸鱼，在收到几条私信，发现大家对一套完整的系统的网络安全从学习路线到学习资料，甚至是工具有着不小的需求。

最后，我将这部分内容融会贯通成了一套282G的网络安全资料包，所有类目条理清晰，知识点层层递进，需要的小伙伴可以点击下方小卡片领取哦！下面就开始进入正题，如何从一个萌新一步一步进入网络安全行业。

学习路线图

其中最为瞩目也是最为基础的就是网络安全学习路线图，这里我给大家分享一份打磨了3个月，已经更新到4.0版本的网络安全学习路线图。

相比起繁琐的文字，还是生动的视频教程更加适合零基础的同学们学习，这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。

网络安全工具箱

当然，当你入门之后，仅仅是视频教程已经不能满足你的需求了，你肯定需要学习各种工具的使用以及大量的实战项目，这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。

项目实战

最后就是项目实战，这里带来的是SRC资料&HW资料，毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底，我们的最终目的都是为了就业，所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过！

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

55.jpeg)

面试题

归根结底，我们的最终目的都是为了就业，所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过！

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-C3LdHMVl-1712836031381)]