网站地图    收藏   

主页 > 后端 > 网站安全 >

对开源中国一次普及型的认证钓鱼测试 - 网站安

来源:自学PHP网    时间:2015-04-17 11:59 作者: 阅读:

[导读] 最近这个很火我也来一个,认证钓鱼这个问题是由于一个引用网络图片问题而导致的,暂时只有一个解决办法,就是不能引用网络图片,如果开发童鞋想到更好的解决办法希望能够共享...

最近这个很火我也来一个,认证钓鱼这个问题是由于一个引用网络图片问题而导致的,暂时只有一个解决办法,就是不能引用网络图片,如果开发童鞋想到更好的解决办法希望能够共享出来,因为这个实在影响太大,包括qq,百度,人人等著名网站。不过为什么chrome进入当前页面的时候会不直接弹点击才弹呢,大牛可以研究下
 
首先,我先找个能够引用网络图片的地方,其实不引用也可以,只要插如img src=“即可
 
 
之后刷新看效果吧,因为指定的图片地址引用了一个http认证
 
 
这个时候重新打开页面就会触发一个钓鱼认证,没有警惕性的用户发现是要连接关于访问网站www.oschina.net的,就输入了该网站的用户名和密码,点击确定以后其实这个密码就发给我了,因为这个钓鱼认证是我搞的,好了看看效果把。
 
 
看来我已经收到有人输如的oschina的用户名和密码了
 
 
看了真的有人中招了,好了那么登陆发发消息看看
 
 
这个就是我使用刚才收到的用户名密码所发的一条信息,因为之前没有测试就联系红薯了,只是他找周公去了,所以发一条消息再@下 。
至此测试成功,之后就有程序猿发现了这个情况并发帖,看来程序猿的警惕性还是很高的,不过也说明他们也对安全性的知识比较缺乏,并不知道这是一个认证钓鱼。
 
 
就此测试结束,第二天联系红薯把事情讲清楚后,红薯特地在首页搞了一个置顶贴,看来他也认识到了问题的严重性,毕竟他的网站至少还是可以的
 
 
帖子内容
 
 
这样基本就在oschina普及了这个安全性方面的知识,我的目的也达到了,个人认为从程序猿抓起才是最好的方式把。之后也在qq空间和百度贴吧做相应测试也收到了用户名密码
 
 
 
修复方案:

红薯准备不能直接引用站外图片了,而且红薯也比较欢迎大家给程序猿们普及各类安全知识,这不就是不帽子的目标么,从根本杜绝安全性漏洞


 

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论