你现在做钓鱼网站怎么做？

自己手写代码？克隆他的网站？肯定不是了把？都这年头了，还不上AI，来我们看一些这些年针对AI钓鱼的发展：

2023 年 11 月 诈骗分子通过 AI 换脸技术伪装成某科技公司高管，骗取合作伙伴 430 万元。 美国联邦调查局（FBI）首次发布 AI 语音克隆骗局预警，针对青少年群体的案件激增。

2023 年 12 月 留学生家庭遭遇 “虚拟绑架” 勒索，攻击者利用 AI 生成逼真绑架视频，索要 500 万元赎金。

2024 年 1 月 香港 19 家跨国公司员工因 AI 钓鱼邮件集体受骗，损失超 2 亿港元。 加密货币用户 r_ocky.eth 因使用 ChatGPT 生成的恶意代码导致钱包被盗，损失 2500 美元。

2024 年 6-9 月 钓鱼攻击产业化爆发，CertiK 监控到超 5500 万美元的钓鱼交易，第三季度损失达 2.43 亿美元。 Inferno Drainer 等团伙通过 “诈骗即服务（Scam-as-a-Service）” 模式，向犯罪分子提供钓鱼工具。

每年都有人使用AI在法律的边缘摩擦，作为安全人员我们在做钓鱼演练生成网站怎么办，找AI，只需要把你想克隆的内容直接丢给我们做好的AI智能体，就可以直接生成对应的钓鱼网站了。

看效果：

克隆奇安信官网：输入网址，直接克隆

看效果：

克隆安恒的网站看看呢：输入网站，直接克隆：

克隆效果：

受人以鱼，不如受人以渔，这个AI智能体的搭建方法我已经在我们星球中写好了，具体的大家可以移步到星球学习【今年星球会有大量的AI+安全的探索，感兴趣的抓紧进来吧】：

https://t.zsxq.com/Foe1O

网络安面试题库截止目前已更新78篇，近18w字，里面包含了网安的职业规划、面试准备篇幅、学习方向、求职名单、应届生面试题库、应届生笔试题库、国内外安全企业介绍、以及社会背调等。16w字的面试经验文末有彩蛋

面渣逆袭

Fasjson常见面试题

面试题1：Fastjson反序列化漏洞的本质是什么？

答案要点：

1. 机制缺陷：通过@type指定任意类触发Java Bean的setter/getter方法
2. JNDI注入路径：JdbcRowSetImpl等类支持JNDI远程加载
3. 绕过原理：利用Lcom.sun...;等语法绕过黑名单检测（ASCII编码/特殊符号）
4. 修复方案：启用safeMode或使用autoTypeCheckHandler白名单

面试题2：如何设计Fastjson漏洞的防御方案？

解决方案：

// 启用安全模式（最高防护）
ParserConfig.getGlobalInstance().setSafeMode(true);

// 白名单过滤（企业级方案）
ParserConfig.getGlobalInstance().addAccept("com.trusted.package.*");

// 禁用特殊符号
Feature.DisableSpecialKeyDetect.setMask(Feature.DisableSpecialKeyDetect.mask);

题目3：  Fastjson反序列化漏洞的底层触发机制是什么？如何通过autoType机制实现远程代码执行？

参考答案：

• 触发机制：Fastjson在反序列化时，会通过@type指定目标类并调用其setter/getter方法。攻击者构造恶意JSON，指定如JdbcRowSetImpl等类，触发JNDI连接远程LDAP服务，加载恶意字节码。
• autoType绕过：早期版本通过缓存机制（TypeUtils.getClassFromMapping）绕过黑名单，例如1.2.47中加载java.lang.Class，结合ClassLoader动态加载类。

Fastjson漏洞总结

1. Fastjson漏洞汇总

2. 核心漏洞详情表

星球介绍

一个人走的很快，但一群人才能地的更远。吉祥同学学安全这个星球🔗成立了1年左右，已经有500+的小伙伴了，如果你是网络安全的学生、想转行网络安全行业、需要网安相关的方案、ppt，戳链接🔗（内有优惠卷）快加入我们吧。系统性的知识库已经有：《Java代码审计》++《Web安全》++《应急响应》++《护网资料库》++《网安面试指南》+《AI+网安》