利用手机浏览器网页替换漏洞进行钓鱼

土司号马上就要封了，不想离开土司这个大家庭，还想在这里继续学习，写篇文章，大牛略过。。。。                                                                                                             喷的时候请不要匿名！！！PS：我这人很记仇！

拿360手机浏览器举例，其他浏览器想玩的可以自己测试下。
W3C规则中有很多偏执的js代码，比如parent.window.opener    它的作用是允许多窗口的浏览器，新打开的子页面可以调动父页面的location.href    这个用法在黑客攻击中不常见，因为W3C根据同源策略，父页面的改变中的referer将是子页面   最常见的用法就是在百度中，博彩网站的流量之争。

如上图在百度搜索 888的一个关键字中，我们点击下去以后就会如下图：

不仅仅打开了一个新的页面，旧的百度页面也因此被替换掉，为此百度只能在爬行中做出防御，但是难免会有漏网之鱼。
因为PC端视乎无法利用，原因如下：
1.PC端浏览器存在地址栏
2.PC端浏览器看得到页面变动状态
3.PC端防御功能齐全

但是相比移动端：
1.移动端地址栏默认隐藏
2.移动端浏览器在新的页面时将无法看到旧页面的变更状态
3.移动端防御功能相对薄弱

我们看一下一个例子，就在360安全论坛的一个帖子里，我发送了一个链接。


我将链接变成了一个逗号，点击之后他将会跳转到我的攻击页面。

在攻击页面上不放置任何内容，也可以设置一些无聊的内容，我们的目的是将原来的1号窗口替换掉，甚至可以设置延时关闭。

这时候我们回到原来的一号窗口，我们很难发现页面被替换掉了，这个页面由于是临时加工，所以没有复制头像，其实页面可以使用kali的工具直接爬行。
由于浏览器默认选择的隐藏URL所以漏洞将造成严重危害。
贴下利用的exp
1.exploit：

<script type="text/javascript" >
if (parent.window.opener) {
parent.window.opener.location = 'http://www.xxxxx.com/attack.html';
};
</script>

2.漏洞的利用与危害

①：爬行想要攻击论坛所有帖子，自动匹配URL，生成假页面与attack页面。
/*假页面参考社会工程学因素，让人觉得attack页面只是个无聊的页面，或者设置自动关闭，有条件可以设置浏览器识别*/
②：识别验证码/蠕虫自动发帖，附上attack代码指向假页面。
③：所有将页面引向登陆页面
/*对不起，由于您状态异常，请重新登陆*/
④：记录下用户名与密码。
对存在parent.window.opener的页面默认不予以新窗口打开。
由于整个过程中用户只因为在网页中点击了一个链接，在新窗口打开页面的时候，旧页面的代码已经被替换，并且一模一样，无法识别，所以危害较高。
故可以实现钓鱼的目的！！！



TCV=4（不知道是不是有点高，反正别踩贴就行了，小菜经历过论坛里匿名的语言攻击给小菜的心灵带来了很大的伤害。）