XSS Phishing - 新式跨站脚本攻击方式

    首先我们可以实验一下，javacript有一个小特性,延时输出将会清空当前页面所有的内容，代码如下：

    function Phish(){
    info = "我是来钓鱼的！"
    document.write(info);
    }
    function doit(){
    setTimeout("Phish()", 1000 );
    }doit()

    如图四，帖子页面的代码和内容全变成了“我是来钓鱼的！”

    想一想，如果我们把info变量的内容变成HTML代码会怎样，如图五

    嘿嘿，邪恶一点！我们完全可以把页面变成一个自己操纵的登录页面，将表单的值指向远程服务器上的程序，如图六

    然后远程服务器上的程序将接受表单POST的用户和密码，当然我们可以做巧妙点，让其访问后又转跳回论坛首页，代码如下：

    最后我们便完成了钓鱼的过程，管理员访问我们的帖子，马上重写当前页面，设置一个重新登录的陷阱，盗取用户名和密码，全部过程只在没有察觉的一瞬间.

    这类攻击方式危害很大，文中的原始代码只是描叙一下思路，有很多破绽，当然如果你够邪恶的话，完全可以自己重写代码，钓鱼于无形之中。

    提醒一下，跨站脚本不仅仅是简单的挂马，XSS Phishing（跨站脚本钓鱼攻击）只是一个简单的开始！

    有关XSS跨站攻击的基本概念及防范的方法，请读者参考以下文章： 
    浅析XSS(Cross Site Script)漏洞原理
    http://publish.it168.com/2007/0704/20070704004201.shtml