3.URL重定向—钓鱼网站

一段执行URL重定向的脚本

<script type="text/javascript">
    var sData=document.location.search.substring(1);
    var sPos=sData.indexOf("url=")+4;
    var ePos=sData.indexOf("&",sPos);
    var newURL;
    if(ePos<0){
        newURL=sData.substring(sPos);
    }else{
        newURL=sData.substring(sPos,ePos);
    }
    window.location.href=newURL;
</script>

可以看出,这些 JavaScript 脚本负责执行重定向,新地址是从 document.location、document.URL 或者 document.referer 等 DOM 元素的属性值中截取出来的,譬如用户输入清单 6 所示。

清单 6. 执行重定向的 URL 
http://www.vulnerable.site/redirect.html?url=http://www.phishing.site

results matching ""

    No results matching ""