4.1.3 IFrame框架钓鱼定义和产生原理

所谓IFrame框架钓鱼攻击，是指在HTML代码中嵌入IFrame攻击，IFrame是可用于在HTML页面中嵌入一些文件（如文档、视频等）的一项技术。对IFrame最简单的解释就是“IFrame是一个可以在当前页面中显示其他页面内容的技术”。

IFrame框架钓鱼攻击产生原理：

Web应用程序的安全始终是一个重要的议题，因为网站是恶意攻击者的第一目标。黑客利用网站来传播他们的恶意软件、蠕虫、垃圾邮件及其他。OWASP概括了Web应用程序中最具危险的安全漏洞，且仍在不断积极地发现可能出现的新的弱点，以及新的Web攻击手段。黑客总是在不断寻找新的方法欺骗用户，因此从渗透测试的角度来看，我们需要看到每一个可能被利用来入侵的漏洞和弱点。

IFrame利用HTML支持这种功能应用，而进行攻击。

IFrame的安全威胁也是作为一个重要的议题被讨论着，因为IFrame的用法很常见，许多知名的社交网站都会使用到它。使用IFrame的方法示例如下。

例1：

该例说明在当前网页中显示其他站点。

例2：

IFrame中定义了宽度和高度，但是由于框架可见度被隐藏了，而不能显示。由于这两个属性占用面积，所以一般情况下攻击者不使用它。

现在，它完全可以从用户的视线中隐藏了，但是IFrame仍然能够正常地运行。而我们知道在同一个浏览器内，显示的内容是共享Session的，所以在一个网站中已经认证的身份信息，在另一个钓鱼网站就能轻松获得。