1.6 实验#6:testasp网站有框架钓鱼风险

缺陷标题 在testasp网站查询时存在框架钓鱼风险。

测试平台与浏览器 Windows 7+Chrome+Firefox+IE 11。

测试步骤

(1)打开testasp网站http://testasp.vulnweb.com。

(2)单击search。

(3)在文本框中输入iframe src=http://baidu.com,单击search posts按钮,如图1-11所示。

图1-11 输入框架攻击

期望结果 页面显示警告信息。

实际结果 页面成功通过框架钓鱼,出现百度搜索网站的内容,如图1-12所示。

专家点评


Web应用程序的安全始终是一个重要的议题,因为网站是恶意攻击者的第一目标。黑客利用网站来传播恶意软件、蠕虫、垃圾邮件等。OWASP(开放式Web应用程序安全项目)概括了Web应用程序中最具危险的安全漏洞,但是仍在不断积极地发现可能出现的新的弱点以及新的Web攻击手段。黑客总是在不断寻找新的方法欺骗用户,因此从渗透测试的角度来看,需要看到每个可能被利用来入侵的漏洞和弱点。

图1-12 网站框架上百度

HTML代码中的iframe是可用于在HTML页面中嵌入一些文件(如文档、视频等)的技术。对iframe最简单的解释就是,iframe是一个可以在当前页面中显示其他页面内容的技术。

iframe的安全也是一个重要的议题。iframe的用法很常见,许多知名的社交网站都会使用它。使用iframe的方法如下。

该例说明在当前网页中显示其他站点。

该例iframe定义了宽度和高度,但是框架可见度被隐藏了,所以不能显示。由于这两个属性占用面积,所以一般情况下攻击者不使用它。

现在,它完全可以从用户的视线中隐藏了,但是iframe仍然能够正常运行。在同一个浏览器内,显示的内容是共享session(会话控制)的,所以在一个网站中已经认证的身份信息,在另一个钓鱼网站能够轻易获得。