首先一个Same origin policy概念
origin A的 JS是不能去碰origin B 网站的东西的。
但是黑客可以在网站的上面铺一层透明度为0的恶意页面。这样你以为你点下去的是好东西,其实你点的是恶意页面。
比如你输入银行卡密码,其实你是输给坏人的。
这里这个例子: 用户看到一个游戏页面,点击玩游戏,其实是把自己Twitter删除。
另一个例子:
比如我们email收到一个通知,说Paypal账号出现问题要你去处理。正常人都会点进去的。但是这个网页可能只是跟paypal长的一样,但是偷你的账号密码。
甚至连URL都可以高仿:
比如把/ ? 用国际character 来表示。
拿到用户一个账号密码,也许就可以打开他其他所有网站的密码。因为大部分人所有密码都差不多
很多网站都拿验证码来防黑客。但是首先,这些验证码被弄得连人都很难识别。其次,有些黑客可以人为来破解。 还有,现在许多验证码已经成为人工智能训练data,图像识别不是那么难了。
网友评论