JavaScript控制href属性进行钓鱼
2013-08-29 09:39
253 查看
前一阵子,发现JavaScript中允许临时改变<a>标签的href属性,当改变其属性后你点击它可能看不出有多严重,但是,它可以通过欺骗手段来诱骗用户透露他们的详细资料。
当你点击链接,javascript代码被执行并改变了<a>标签的href属性。令人惊讶的是,浏览器竟然把受害者导航到一个新的链接。而受害者通常会简单的认为,可能只是一个重定向链接,这里我们假设网站的访问者已经习惯了这种重定向现象,这一缺陷便可以进行网络钓鱼。
这种钓鱼很难能被检测到。很多人都使用JavaScript/ jQuery框架组合来绑定<a>标签,每个<a>标签的onclick函数不是那么容易就能解除绑定的。一个技术还不错的黑客可以嵌入恶意的JavaScript或进行代码注入,因为这样很容易更新JavaScript(尤其是可嵌入的)。
// Uncompressedvar links = document.getElementsByTagName('a');for(var i=0; i < links.length; i++){ links[i].onclick =function(){this.href ='http://freebuf.com/phishing/……';// 插入链接(你们懂的)};}// Compressed (100 characters exc. the link) o=document.getElementsByTagName('a');for(j=0;j<o.length;j++){o[j].onclick=function(){this.href='http://freebuf.com/phishing/……';}}
当你点击链接,javascript代码被执行并改变了<a>标签的href属性。令人惊讶的是,浏览器竟然把受害者导航到一个新的链接。而受害者通常会简单的认为,可能只是一个重定向链接,这里我们假设网站的访问者已经习惯了这种重定向现象,这一缺陷便可以进行网络钓鱼。
这种钓鱼很难能被检测到。很多人都使用JavaScript/ jQuery框架组合来绑定<a>标签,每个<a>标签的onclick函数不是那么容易就能解除绑定的。一个技术还不错的黑客可以嵌入恶意的JavaScript或进行代码注入,因为这样很容易更新JavaScript(尤其是可嵌入的)。
相关文章推荐
- 简单运用Javascript,使<input/>控制display属性div的显示隐藏
- javascript和jquery修改a标签的href属性
- CSS和JavaScript标签style属性对照表(用javascript来控制css不再难了)
- 利用prototype属性,对JavaScript对象进行功能扩展,比如数组对象Array,String等
- ASP SEO优化,将JavaScript(Ajax)中的请求链接放在href属性中
- javascript控制服务器端控件的Enable属性
- javascript控制table的style属性
- .net MVC 使用 JSON JavaScriptSerializer 进行序列化或反序列化时出错,字符串的长度超过了为 maxJsonLength 属性设置的值
- 用js控制a标签href属性并实现跳转
- JavaScript控制readonly属性无效
- 非常全的javascript控制MediaPlayer的属性集合
- javascript控制页面(含iframe进行页面跳转)跳转、刷新的方法汇总
- web前端,javascript元素及属性进行获取,设置,添加,删除
- javascript和jquery修改a标签的href属性
- Javascript 获取某个a标签的href并进行分解
- javascript对象坐标控制属性(包括offsetTop,offsetLeft等属性)
- [转]在网页中加入声音文件,并且用JavaScript对其进行播放控制
- 将使用DataGrid进行数据绑定,使用Javascript控制当选中其中的checkbox时,该行颜色改变
- 【JavaScript】无须id、name与class等属性,绝对兼容,直接对表单中的所有表单项进行遍历、判断、检验
- 使用文件流ADS 及 JavaScript 进行钓鱼攻击