4.5 Testasp网站有框架钓鱼风险

缺陷标题：在国外网站acunetix acuforum查询时可以通过框架钓鱼。

测试平台与浏览器：Windows 10+Google浏览器+Firefox浏览器+IE11浏览器。

测试步骤：

1）打开国外网站：http://testasp.vulnweb.com。

2）单击“search”。

3）在输入框中输入“＜iframe src=http://baidu.com＞”，单击“search posts”按钮（如图4-8所示）。

期望结果：页面提示警告信息。

实际结果：页面成功通过框架钓鱼，出现了百度搜索网站的内容（如图4-9所示）。

[攻击分析]：

对于一些安全要求较高的网站，往往不希望自己的网页被另外的非授权网站框架包含，因为这往往是危险的，不法分子总是想尽办法以“钓鱼”的方式牟利。常见钓鱼方式如下：

1）黑客通过钓鱼网站设下陷阱，大量收集用户个人隐私信息，贩卖个人信息或敲诈用户。

2）黑客通过钓鱼网站收集、记录用户的网上银行账号、密码，盗取用户的网银资金；

3）黑客假冒网上购物、在线支付网站，欺骗用户直接将钱打入黑客账户。

4）通过假冒产品和广告宣传获取用户信任，骗取用户金钱。

5）恶意团购网站或购物网站，假借“限时抢购”“秒杀”“团购”等噱头，让用户不假思索地提供个人信息和银行账号，这些黑心网站主可直接获取用户输入的个人资料和网银账号及密码信息，进而获利。

钓鱼网站的类型主要有两种，一种是主动的钓鱼网站，就是高仿网站，专门用于钓鱼。例如：中国工商银行的官网是：www.icbc.com，钓鱼网站可能仅修改部分，例如为：www.lcbc.com，钓鱼网站表面上看，内容与官网完全一样，甚至弹出来的公告都和你平常经常见到的页面一样。这样当你在钓鱼网站用你的银行账户与密码登录后，你的银行账户与密码就存储到钓鱼网站数据库中了，你的银行账户就不再安全。

另一类是网站本身不是专门的钓鱼网站，但由于被其他网站利用，成了钓鱼网站。一个网站如果能被框架，就有被别人网站钓鱼的风险。现在许多的钓鱼攻击是这种情况，合法网站被不法分子利用。