只需引用外部的一个图片然后图片地址写为你的认证钓鱼地址即可开启这个弹框,而很多不懂网络安全的用户会 认知为是打开网页需要认证此地址的账号密码,等用户输入了之后,账号密码就悄然的到了黑客的接受地址。
目前经过证实,百度贴吧,人人网,360,Discuz!...等著名厂商都存在此漏洞。
在乌云漏洞平台白帽子:horseluke 提出
这个欺骗应该属于钓鱼一类,只要任何网站只要能插入外部内容都可以成功。但和钓鱼不同的是,由于引入外部内容可伪装成合法数据且为用户数据的高度不可控,会导致web软件自身会拦不住(或者拦截成本过高),浏览器拦的话可以考虑(但目前也没见到类似拦截iframe的方法),再或者安全软件用智慧星方法把已知xss平台给拦(但这样的话对安全研究成为灾难)......所以个人更偏向需要向普通用户普及安全知识,或者用户自己直接用host把已知xss平台给屏蔽。综上:厂商忽略有道理,靠自己真修不了,也无从修起。
可以看出此类钓鱼是给互联网的又一大的挑战,也希望一些安全杀毒软件可以给与拦截提示等!
乌云漏洞平台地址:http://www.wooyun.org/bugs/wooyun-2010-015248
PS:163微安全提示:请务必在看到这种弹窗地址前,请先看好地址!
( 责任编辑:疯子)