有效防御xss攻击的方法：XSS 攻击思路总结

有效防御xss攻击的方法：XSS 攻击思路总结# 真域名 www.pornhub.com # 假域名 www.ρornhub.com唯品会官网 真假域名BashOPPO 官网 真假域名Bash# 真域名 www.oppo.com # 假域名 www.οppο.comPornhub 官网真假域名

前几天看到 B 站 up 主公孙田浩投稿的视频「QQ被盗后发布赌博广告，我一气之下黑了他们网站」，看完后不禁感叹为啥自己没有那么好的运气……实际上这就是一个中规中矩的 XSS 漏洞案例，在安全圈子里面应该也算是基本操作，正好博客以前没有记录过类似的文章，那么本文就来还原一下这个攻击过程。

鉴别网站

下面是一个经典的 QQ 空间钓鱼网站：

域名分析

钓鱼网站最直观的就是看域名，可以看到目标网站域名 ：qq.xps.com 尽管域名中出现了 qq 字样，但是一级域名却是 xps.com 这一点就直接暴露了钓鱼网站的本性。

早期还有一种利用拉丁字母注册的域名伪造钓鱼网站的案例，这种就比较逼真了，下面国光简单列举一些：

OPPO 官网 真假域名

Bash

# 真域名 www.oppo.com # 假域名 www.οppο.com

Pornhub 官网真假域名

Bash

# 真域名 www.pornhub.com # 假域名 www.ρornhub.com

唯品会官网 真假域名

Bash

# 真域名 www.vip.com # 假域名 www.νip.com

关于这类域名就不再列举了，早期这种方法成功率是非常的高的，有时候甚至都可以欺骗到我们这种专业的信息安全从业者。

功能分析

钓鱼网站既然是要钓鱼的话，说那么多半还会有后台管理功能。所以使用常规的目录扫描工具多半可以扫描出一些端倪出来：

Bash

dirsearch -u "http://qq.xps.com/" -e * -x 301

果然扫描出了这个 QQ 空间钓鱼网站的后台登录口了：http://qq.xps.com/admin/login.php

至此基本上已经可以确定这个目标网站就是传说中的钓鱼网站了，下面来看一下这个钓鱼网站是如何运作的吧。

钓鱼流程

小白用户前台输入自己的 QQ 账号和密码信息，点击登录后域名跳转到真正的 QQ 官网：

然后用户再输入自己的 QQ 账号和密码就可以成功登陆了。

目前很多钓鱼网站都是这种思路，这可以让被钓者产生一种自己第一次是密码不小心输入错误的错觉，从而放松警惕，妙啊！真是妙蛙种子吃着妙脆角，妙进了米奇妙妙屋 妙到家了