[网站钓鱼]我“代表”猫扑欺骗你!

　　很受年轻人喜欢的猫扑，有一个存在安全隐患的页面，黑客用这个安全隐患进行钓鱼、挂马，以猫扑的名义欺骗你。

　　如果有一天，你收到一封包含猫扑链接的邮件或者QQ群里面有人发了猫扑链接，你会怀疑吗？如果在确定域名的确是猫扑的，相信很多人都会毫不犹豫的点击。此时，你有可能就陷入了黑客构造的钓鱼网站或者挂马陷阱(图1)。

　　这是怎么回事？其实猫扑网站中的某些页面存在安全隐患（该安全隐患已经通知了猫扑网站）。黑客可以利用它进行网络钓鱼或者进行挂马，如何你上当点击了那些网页，你就可能被网络骗子受蒙骗或者电脑被病毒入侵。

 

未过滤外部网址

　　图1其实是一个半真半假的网页，一部分是猫扑的真实页面，另外一部分页面是来自http://xingqibar.cn这个黑客钓鱼网站。之所以会出现这样的问题，主要就是猫扑的http://dzh2.mop.com/ladyClub/indexframe.jsp网页存在外部网址未过滤的情况。

　　利用这个安全隐患，黑客可以构造http://dzh2.mop.com/ladyClub/indexframe.jsp?url=http://xingqibar.cn，“当用户访问这个网址的时候，indexframe.jsp会获取url=后面的地址，并将http://xingqibar.cn框架套入当前网页中，在特定位置显示出来。

　　很显然，这是网页设计者在编写这个页面的时候忽略了对url=后面的参数进行过滤，这就如同一个公司虽然安装了大门，却忘记了给门安装门锁一样，其结果是由于没有钥匙的鉴别条件，每个人都能够混入这个公司，冒充公司内部的人员。

　　通常正常的流程应该是，先获取url=后面的地址，之后判断这个地址是否合法，也就是这个url=后面的连接是否是网站内部的地址，这个可以通过JS脚本判断网址域名前面的字符来确定网址是否合法。

　　比如dzh2.mop.com，通过判断.com前面的字符是否是mop，如果是内部合法地址就将其在页面中显示，外部网址就不在页面中显示，这样黑客就没有了可乘之机。几乎所有的给用户造成伤害的网络安全大问题都出在了对一个小小的细节的疏忽上。

钓鱼攻击演示

　　第一步：黑客要先制作一个钓鱼网页。用Dreamweaver或者Microsoft Expression Web完成这个工作（图2），在这个钓鱼页面中使用Request输出函数，就可以保存钓鱼页面中输入的用户名、密码等信息。根据不同的需要，黑客可以制作不同的钓鱼网页，例如中奖钓鱼网页、购物钓鱼网页等。

 

　　第二步：钓鱼页面制作好后，黑客会将钓鱼页面上传到自己的网站中，例如前面假设的http://xingqibar.cn，然后将钓鱼页面的链接地址添加到http://dzh2.mop.com/ladyClub/indexframe.jsp?url=的 “=”后面即可，这样一个伪装成猫扑的钓鱼“陷阱”就做成了。

第三步：高明的黑客还会给地址再加一个伪装，他们会加密钓鱼网址，让你无法看出地址里面接有另外一个一个地址，增加了迷惑性。黑客一般用的是URL16进制加密，将http://dzh2.mop.com后面的部分全部加密。

　　登录可以对网址进行加密的网站http://tool.chinaz.com，在网页中找到“代码转换工具”项，然后点击选择下拉菜单中的“URL16进制加密”项（图3），之后将钓鱼网页链接地址输入到要加密的地址栏中，加密后为http://dzh2.mop.com/%6C%61%64%79%43%6C%75%62/%69%6E%64%65%78%66%72%61%6D%65%2E%6A%73%70?%75%72%6C=http://%78%69%6E%67%71%69%62%61%72%2E%63%6E。这样伪装后，一般用户就会只注意到http://dzh2.mop.com，而没有想到该网址连接了钓鱼页面。

 

第1页:我“代表”猫扑欺骗你!(1)   第2页:我“代表”猫扑欺骗你!(2)