每天在使用各种社交软件的同时难免会遇到一些“钓鱼网站”,这些所谓的钓鱼网站就是一些无聊的人弄出来的,其特点就是和官方的网站很相似,很多情况下我们一个不小心就….昨天下午碰到了一个钓鱼网站,特点是好友留言提到所有人,然后有一张图片里面写着扫描二维码查看回忆录…扫描二维码之后就会出现一个QQ空间登录的界面…
当时可能网络不好或者那个人服务器不好,输入账号密码的时候都卡卡的,所以我密码输错了,点了登录之后就跳到了一个图片(dog),那时候我才发现这是钓鱼网站,自己警惕性还是太差了呀,虽然没什么大碍,最主要还是麻烦到朋友了,搞不好QQ就冻结了…他那个页面如下,在手机端真的很像很像…就下面那个网站,往死里的打
这个钓鱼网站其实也不是太贱,算一种恶搞吧,扫描二维码之后输入账号密码点确定…之后好像是一个QQ官方的api接口,自动给自己空间留言(同样是那张二维码,还提到了所有人),然后有人或许又会去扫描那个二维码(比如我),然后…一直一直,关键这个不需要其他操作,只要网站没被封就可以一直弄下去,也不知道这个钓鱼网站存在多久了,本着学习的初衷(无聊)我把这个页面爬下来了…或许算学到了一点点东西吧…
他原本有些资源是用的三方cdn的,图片也是url引用的,不过我不是太喜欢那样子,所有就全部搞成本地了。东西不多,不过还是搞不太懂,看源码的时候感觉还…挺厉害的,原谅我没学过js和php,php里面竟然可以直接写js代码….其实钓鱼的原理很简单,首先输入账号和密码的“键盘”都是有监控的,也就是我们输入的账号和密码都会记录下来…
然后它有一个简单的判断账号密码是否错误,账号,大概就是大于五位还是六位的纯数字吧,密码是存了一些弱密码然后用Escape加密的,反正就是简单的几个判断…然后输入登录键之后就会发起一个get请求,是用的QQ官方的api接口,也就是说,只要用到了正确的账号和密码,不需要登录就可以直接在空间留言等等,大致上钓鱼网站就是这样子的,我不是太清楚账号和密码这个钓鱼网站有没有存下来,看js源码时没有保存的,直接用到了api请求。
对于这种网站,直接打死就好了…无聊的人服务器GG就完事了…好吧我连用工具DDOS都不会,我是守法的好公民,还是举报好,在源代码的时候最主要的感觉就是:垃圾排版,就不能好好空行嘛?就不能写注释嘛?就不能命名规范一点嘛?没事改编码,unicode编码…base64加密…Escape加密…阅读起来真的麻烦,php文件里面写js代码是什么习惯,还有就是write()
函数,其实index.html里面没有东西,仅仅是加载了个script(为什么加载script源文件是一个php文件,又写的js代码?靠),然后覆盖了index.html的内容,照我说不如直接写,为什么要这么麻烦?难道另有玄机?…这种钓鱼网站太常见了,多长点心眼就好,不过以前有一种钓鱼网站是只要打开了就会被盗用QQ,不知道什么原理,用api请求需要cookie没错,难道点开那个网站的瞬间就把我的cookie拿去了?有点玄乎…