[web安全]黑客攻防技术宝典-浏览器实战篇--钓鱼攻击

钓鱼攻击是获得用户敏感信息的一种方法。钓鱼攻击的目标通常是在线银行用户、PayPal、eBay等。

主要形式：

1.电子邮件钓鱼

群发邮件，欺骗用户点击恶意的链接或附件，获取有价值的信息。

2.网站钓鱼

在网站上伪造一个网站，通常是模仿合法的某个网站。为了欺骗用户点击这个网站还会采取些辅助技术，比如钓鱼邮件，短信，电话啊。

3.鱼叉式钓鱼

经常也需要使用一个欺骗性的网站，但诱饵针对一小群目标受众。

4.鲸钓

目标为高端人群或高级管理人员的鱼叉式钓鱼。

---

在浏览器中通常有两个阶段:
(1)伪造网站
(2)发送钓鱼邮件

1.伪造网站
想好要伪造什么网站后，可以有如下选择：
1.从头构建网站，就是比较花时间
2.复制网页，修改已有的网页，通过浏览器的查看源代码，可以加快制作进程。
3.用脚本克隆已有的站点。 (比如Social-Engineer Toolkit)
同时还需要一个可以显示错误的页面，来执行你的代码。
当然若网站本身存在xss漏洞的话，可以把网站本身作为钓鱼网站。

2.钓鱼邮件
有了网站，就要想着通过什么方式让用户上钩，通常是发送钓鱼邮件。
需要以下的步骤:
1.生成电子邮件地址列表。
工具有：Maltego,theHavester,Recon-ng等
2.邮件群发器

了解了下一些反钓鱼机制

1.SPF记录
SPF是为了防范垃圾邮件而提出来的一种DNS记录类型，它是一种TXT类型的记录，它用于登记某个域名拥有的用来外发邮件的所有IP地址。
2.SafeBrowsing API
谷歌的一个随时可以通过互联网访问的API,允许允许浏览器在渲染之前检测URL的正确性。