钓鱼网站和垃圾邮件Email 是怎么骗走你的密码的(XSS攻击)

本文通过一个例子，告诉你钓鱼网站和立即email 是如何骗走你密码的。

1.在浏览器中输入  [url]http://testasp.acunetix.com/Search.asp[/url]

2.在搜索栏中填写:

  <br><br>Please login with the form below before proceeding:<form action="destination.asp"><table><tr><td>Login:</td><td><input type=text length=20 name=login></td></tr><tr><td>Password:</td><td><input type=text length=20 name=password></td></tr></table><input type=submit value=LOGIN></form>

 

然后点击search, 你会很奇怪的发现 搜索栏下面出现了一个用户登录界面，你再看看上面的代码 action="destination.asp"

你如果真的输入了用户名和密码，点击提交，那么你的密码就主动送给别人了。

当然那些心怀恶意的人不可能这么做，这只是一个例子。他们会提供一个链接比如:

 

您中了10万元大奖

 

这个链接的指向的是:

[url]http://testasp.acunetix.com/Search.asp?tfSearch=%3Cbr%3E%3Cbr%3EPlease+login+with+the+form+below+before+proceeding%3A%3Cform+action%3D%22destination.asp%22%3E%3Ctable%3E%3Ctr%3E%3Ctd%3ELogin%3A%3C%2Ftd%3E%3Ctd%3E%3Cinput+type%3Dtext+length%3D20+name%3Dlogin%3E%3C%2Ftd%3E%3C%2Ftr%3E%3Ctr%3E%3Ctd%3EPassword%3A%3C%2Ftd%3E%3Ctd%3E%3Cinput+type%3Dtext+length%3D20+name%3Dpassword%3E%3C%2Ftd%3E%3C%2Ftr%3E%3C%2Ftable%3E%3Cinput+type%3Dsubmit+value%3DLOGIN%3E%3C%2Fform%3E[/url]

 

就是你起先看到的页面。 这时你看到域名不是由tencent 或者其他看起来很正规的网站的吗？ 于是你很确信的填写了用户名和密码。然后过几天你发现你的qq密码被人改了，邮箱登陆不上去了.etc...

 

另外一些不怀好意的人甚至不用你填写用户名，直接从你的IE cookie里窃取 你的用户信息。你都不知道发生了什么事情的时候，你的用户信息就被窃取了。

 

以上这种方法也叫XSS(Cross Sites Stripting) 攻击。

 

所以上网也要小心，邮箱，msn， qq 里的链接不要乱点。

本文转自 xhinkerx 51CTO博客，原文链接：http://blog.51cto.com/xhinker/128458，如需转载请自行联系原作者