CSSposition:absolute规则实际上如何帮助网络钓鱼?
谁能帮帮我,我很困惑:(
问问题
454 次
2 回答
2
在此处查找名为“覆盖页面内容”的部分。
与其说绝对定位“帮助”网络钓鱼,不如说汽车“帮助”酒驾。但它是一种可用于恶意目的的工具。
例如,假设您正在运行一个用户可以登录并发表评论的网站。还要说您没有正确清理输入和输出,并且用户确定他可以将纯 HTML 内容发布到他心中的内容中。他决定制作一个帖子,其中包含一个绝对定位的 div,该 div 完全模仿您的登录表单并位于其顶部,从而遮挡您的表单。他的新表单将登录凭据发布到他的站点而不是您的站点,并将用户重定向回您的页面。
用户不怀疑有任何变化,输入他们的登录凭据。他们再次呈现相同的页面。也许他们再试一次,也许他们点击“忘记密码”,也许他们放弃了,等等。无论哪种方式,他现在都有他们的登录凭据。您的任何用户在您的网站上注册时是否使用与登录电子邮件相同的凭据?他们的雇主?他们的银行?
基本上,不安全的网站和一些精心制作的绝对定位内容的结合会危及用户。
于 2011-02-23T14:50:31.253 回答
1
网络钓鱼的目的是通过欺骗用户我们是合法的 / xss 等来提取信息。
绝对位置允许你突破位置并做任何事情,想想你会如何用它来愚弄用户。
规则本身并不坏或应该归咎于网站和用户本身的安全。
我没有给你答案,但如果你不懒,你会自己在这里找到
于 2011-02-23T14:54:02.787 回答