JavaScript控制href属性进行钓鱼
标签:
资讯
href
javascript
钓鱼
| 发表时间:2013-03-19 13:30 | 作者:LinuxSpace
出处:http://www.freebuf.com
前一阵子,发现JavaScript中允许临时改变<a>标签的href属性,当改变其属性后你点击它可能看不出有多严重,但是,它可以通过欺骗手段来诱骗用户透露他们的详细资料。 // Uncompressed var links = document.getElementsByTagName('a'); for(var i=0; i < links.length; i++){ links[i].onclick = function(){ this.href = 'http://freebuf.com/phishing/……'; // 插入链接(你们懂的) }; } // Compressed (100 characters exc. the link) o=document.getElementsByTagName('a');for(j=0;j<o.length;j++){o[j].onclick=function(){this.href='http://freebuf.com/phishing/……';}} 当你点击链接,javascript代码被执行并改变了<a>标签的href属性。令人惊讶的是,浏览器竟然把受害者导航到一个新的链接。而受害者通常会简单的认为,可能只是一个重定向链接,这里我们假设网站的访问者已经习惯了这种重定向现象,这一缺陷便可以进行网络钓鱼。 这种钓鱼很难能被检测到。很多人都使用JavaScript/ jQuery框架组合来绑定<a>标签,每个<a>标签的onclick函数不是那么容易就能解除绑定的。一个技术还不错的黑客可以嵌入恶意的JavaScript或进行代码注入,因为这样很容易更新JavaScript(尤其是可嵌入的)。 Opera除外:Opera好像会自动固定 href属性
相关 [javascript 控制 href] 推荐:
【breakpoint】不依赖浏览器控制台的JavaScript断点调试方法
- - Ryan's Blog (郭亨的博客)随着浏览器的逐渐强大,绝大多数情况下的代码调试都是可以通过浏览器自带的一些调试工具进行解决. 然而对于一些特殊情况仍然无法享受到浏览器的强大调试能力,比如QQ客户端内嵌web的调试(虽然说QQ目前已经可以编译开发者工具,但是仍需要安装指定文件包或工具)、非正常浏览器web、移动场景下的内嵌等场景. 基于这个场景我们团队已经在nohost下引入了weinre,并得到了广泛的使用.
Javascript诞生记
- Milido - 阮一峰的网络日志二周前,我谈了一点Javascript的历史. 今天把这部分补全,从历史的角度,说明Javascript到底是如何设计出来的. 只有了解这段历史,才能明白Javascript为什么是现在的样子. 我依据的资料,主要是Brendan Eich的自述. "1994年,网景公司(Netscape)发布了Navigator浏览器0.9版.
JavaScript,你懂的
- dylan - keakon的涂鸦馆经常有人问我,JavaScript应该怎么学. 先学基本语法,如果曾学过C等语言,应该1小时内就能掌握了. 再去使用内置的函数、方法和DOM API,熟悉它能干什么;而在学习DOM API的过程中,你还不得不与HTML和CSS打交道. 然后弄懂匿名函数和闭包,学会至少一个常用的JavaScript库(例如jQuery).
Javascript 里跑Linux
- rockmaple - Shellex's Blog牛逼到暴的大拿 Fabrice Bellard,用Javascript实现了一个x86 PC 模拟器,然后成功在这个模拟器里面跑Linux(请用Firefox 4 / Google Chrome 11打开,Chome 12有BUG). 关于这个东西… 伊说 “I did it for fun“,大大啊大大啊….
高效 JavaScript
- xtps - ITeye论坛最新讨论传统上,网页中不会有大量的脚本,至少脚本很少会影响网页的性能. 但随着网页越来越像 Web 应用程序,脚本的效率对网页性能影响越来越大. 而且使用 Web 技术开发的应用程序现在越来越多,因此提高脚本的性能变得很重要. 对于桌面应用程序,通常使用编译器将源代码转换为二进制程序. 编译器可以花费大量时间优化最终二进制程序的效率.
你得学JavaScript
- 蒋冰 - 伯乐在线 -博客 注:本文由 敏捷翻译 - 蒋少雄 翻译自 Kenny Meyers 的博文. 如果三年前你问我应该学什么语言,我会告诉你是Ruby. 如果你现在想学一门语言的话,你应该学习JavaScript.. 我认为,每一位Web开发人员都应该学习JavaScript. 目前推出的许多新技术都支持这个观点.
javascript 贪食蛇
- Xin - 博客园-首页原创精华区我的程序用javascript与Html中的table结合,实现的简单的贪食蛇游戏,游戏的主要特点,可调整蛇移动速度,可调整蛇移动范围,碰壁、咬到身体则“Game Over. 游戏并不完善,只是实现了主要的功用,有设计不合理的地方,欢迎您感大家提意见. 实现方法:由javascript语言中的setInterval方法驱动整个游戏程序,设置“nowDirection”即蛇的当前移动方向为全局变量,由setInterval方法定时获取蛇的移动方向,由document.onkeydown()捕捉当前按键(上、下、左、右)以修改nowDirection,这样就可以用方向按键控制蛇周期时间的定向移动.
你不懂Javascript
- 英建 - 黑客志过去几年我注意到技术圈一个很奇怪的现象,有太多程序员将那些他们只是有过非常浅显的了解,但其实根本就不懂的技术写到他们的简历中,这个现象几乎每种语言都有,但这其中最严重的就要数Javascript了. 出现这种状况的一个很大的原因就是现如今几乎每个开发者的工作都或多或少要依赖于Javascript,但大多数人并不真的理解这门语言,他们常用的学习方式是复制粘贴,使用这种方式,你永远不会真正学会这门语言,而只能得到一个你已经懂了的假象.
Javascript 中的 var
- - 酷壳 - CoolShell.cnMelonCard发布了一篇文章——” how one missing var ruined our launch“(”少写了一个var毁了我的网站”),这篇文章是说MelonCard用Node.js做后台,因为出了一个小高峰——有50-100人注册,结果整个网站都不响应了,而且还出现了很多奇怪的问题.