前段時(shí)間一直在寫(xiě)工具黨、大數(shù)據(jù)黑客相關(guān)的科普文，今天開(kāi)始換點(diǎn)口味好了，來(lái)看看前端攻擊里一些“驚悚”的攻擊方式。

今天只說(shuō)高級(jí)釣魚(yú)

如果深刻知道這種釣魚(yú)攻擊的人，估計(jì)以后會(huì)談魚(yú)色變，這次我不科普太多文字，只簡(jiǎn)單說(shuō)下這種在大眾面前幾乎一片空白的攻擊方式，所以看完本篇文字，很多人還會(huì)繼續(xù)得瑟：“反正我不會(huì)中招”，深入的講解我一般都放在一些內(nèi)部的安全培訓(xùn)上了，如果有時(shí)間計(jì)劃整出一篇paper出來(lái)，一定很精彩。

大家想想，在社交網(wǎng)絡(luò)里(weibo也算，具有社交屬性的都算)，我們對(duì)很多專(zhuān)屬于這個(gè)社交網(wǎng)絡(luò)的風(fēng)格元素是不是習(xí)以為常了，比如漂亮的登錄頁(yè)面、設(shè)置頁(yè)面、修改密碼頁(yè)面、彈出層、聊天框、發(fā)消息界面等等，天天見(jiàn)，天天用，對(duì)這樣的風(fēng)格習(xí)以為常了，哪天出現(xiàn)一個(gè)風(fēng)格類(lèi)似的新功能(比如提示“密碼異常，修改密碼”的彈出層)，也不會(huì)懷疑，還以為是新增的友好功能……

這些對(duì)于JavaScript來(lái)說(shuō)都是可以偽造的啊，而且可以超級(jí)YD的偽造，代碼量也不用多少，為什么呢?這得感謝那些偉大的前端工程師，他們封裝了很多超級(jí)方便的接口:)

只要一個(gè)XSS(跨站腳本攻擊)，就可以引入任意JavaScript代碼，鬼魂一般，偽造了一個(gè)看起來(lái)真的假界面，釣到了想要的關(guān)鍵數(shù)據(jù)，目的就達(dá)到了。其實(shí)在真實(shí)的高級(jí)攻擊里，如果能不釣就不釣，多了交互就多了攻擊復(fù)雜度，一段JavaScript也許通過(guò)一些Hacking技巧就能拿到如明文密碼、隱私資料等數(shù)據(jù)，只要一招。

在社交網(wǎng)絡(luò)里，用戶(hù)體驗(yàn)好作為第一要素，對(duì)于攻擊者來(lái)說(shuō)，攻擊也會(huì)講究用戶(hù)體驗(yàn)好，哪怕沒(méi)有XSS，也可以完成攻擊，想想，如何偽裝界面?只是利用XSS的攻擊更加原汁原味(我常說(shuō)的原生態(tài)攻擊方式)。

原生態(tài)除了UI可以利用原生，還有相關(guān)的JS庫(kù)接口，比如針對(duì)weibo.com的一個(gè)小玩笑，大家可以用Chrome瀏覽器登錄自己的微博，然后按f12打開(kāi)“開(kāi)發(fā)者工具”，在Console中，復(fù)制上如下代碼，回車(chē)執(zhí)行：

STK.core.io.ajax({method:’POST’,url:’/aj/message/add’,args:{text:document.cookie.substr(0,300),screen_name:’%E4%BD%99%E5%BC%A6′}})

如此簡(jiǎn)潔的代碼，攻擊者要是利用起來(lái)該有多方便:D

釣魚(yú)無(wú)非就是欺騙，在社交網(wǎng)絡(luò)里利用XSS進(jìn)行的高級(jí)釣魚(yú)攻擊真的讓人防不勝防，這種攻擊我很早就提出，我感覺(jué)已經(jīng)在逐漸流行了，這就是為什么這兩年經(jīng)常有人提到的“美工黑客”，恩，黑客為了生存，開(kāi)始更猥瑣了，開(kāi)始接觸美工了，美工的目的就是視覺(jué)欺騙。

最后：多一分警惕，少一次泄密……