4.1.3 IFrame框架钓鱼定义和产生原理

所谓IFrame框架钓鱼攻击,是指在HTML代码中嵌入IFrame攻击,IFrame是可用于在HTML页面中嵌入一些文件(如文档、视频等)的一项技术。对IFrame最简单的解释就是“IFrame是一个可以在当前页面中显示其他页面内容的技术”。

IFrame框架钓鱼攻击产生原理:

Web应用程序的安全始终是一个重要的议题,因为网站是恶意攻击者的第一目标。黑客利用网站来传播他们的恶意软件、蠕虫、垃圾邮件及其他。OWASP概括了Web应用程序中最具危险的安全漏洞,且仍在不断积极地发现可能出现的新的弱点,以及新的Web攻击手段。黑客总是在不断寻找新的方法欺骗用户,因此从渗透测试的角度来看,我们需要看到每一个可能被利用来入侵的漏洞和弱点。

IFrame利用HTML支持这种功能应用,而进行攻击。

IFrame的安全威胁也是作为一个重要的议题被讨论着,因为IFrame的用法很常见,许多知名的社交网站都会使用到它。使用IFrame的方法示例如下。

例1:

该例说明在当前网页中显示其他站点。

例2:

IFrame中定义了宽度和高度,但是由于框架可见度被隐藏了,而不能显示。由于这两个属性占用面积,所以一般情况下攻击者不使用它。

现在,它完全可以从用户的视线中隐藏了,但是IFrame仍然能够正常地运行。而我们知道在同一个浏览器内,显示的内容是共享Session的,所以在一个网站中已经认证的身份信息,在另一个钓鱼网站就能轻松获得。