查看: 539|回复: 0

不是钓鱼,胜似钓鱼——揭秘“画皮”的第三方查询网站

[复制链接]
论坛徽章:
0
发表于 2019-8-13 16:56 | 显示全部楼层 |阅读模式
你知道什么是钓鱼网站?你知道该如何防范吗?
本世纪初到现在,近20年的时间,数不清的钓鱼网站在给网络环境造成巨大破坏的同时,也让自身走到了全社会的聚光灯下。在政府监管、厂商围剿和大众网络安全意识提高的三重作用下,把坏人两个字写在脑门上的钓鱼网站已远没有十年前那般猖狂,取而代之的是一批“画皮妖精”,它们披着精致的人皮,却只为了得到“人心”——你的重要个人信息。 | 当年的“钓鱼”网站
钓鱼网站的主要牟利手段是通过骗取用户输入敏感信息(比如网银账号,密码)直接盗取个人财产,正如前文所说钓鱼网站把坏人写在脑门上,这种非法牟利方式和现实世界中的盗窃没有区别。钓鱼网站的幕后黑手从出现那天起,就不是游走在法律红线上的人,而是结结实实的罪犯。事实上,我们从众多的司法判例中也能看到,钓鱼网站的制作者最终会以盗窃或诈骗等罪名而被起诉。

也不知什么时候开始,不法之徒发现了个人敏感信息除了可以“自用”还可以“买卖”。于是,近几年就出现了“没把坏人俩字写脑门上”的一批网站,它们收集个人信息,然后贩卖。在多数人的传统意识里,贩卖个人隐私似乎是走在法律边缘的行为,这种观念更是让这些网站肆无忌惮。这些第三方网站与钓鱼网站的明显区别在于它们确实为用户提供服务,例如查询信息等。且因为页面设计美观、用户体验良好、搜索排名靠前等原因可能备受人们喜爱。但就是这些第三方网站,或许正在收集你的隐私——在它们眼里,这些信息都是白花花的银子。
| 福韵君重现画皮过程
从技术上讲,只要你的信息提交给一个网站(或者说是服务器),基本可以说就没有秘密可言了。这里福韵君可以自己写个网站登录功能举个例子。简单说说原理,作为浏览器/服务器架构程序开发的基石之一,Servlet技术通过xml配置信息形成登录页面到后台Java程序的映射。从而在服务器端取得用户提交的数据。具体如下图所示:其他开发的技术细节这里不再赘述,当我们把前后台都编写好,并做好映射后,前台登录页面如下:当用户输入了用户名和密码并点击登录后,服务器端事实上可以看到用户提交信息的全部明文。如下图所示。



您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

SACC2019中国系统架构师大会

【数字转型 架构演进】SACC2019中国系统架构师大会,7折限时优惠重磅来袭!
2019年10月31日~11月2日第11届中国系统架构师大会(SACC2019)将在北京隆重召开。四大主线并行的演讲模式,1个主会场、20个技术专场、超千人参与的会议规模,100+来自互联网、金融、制造业、电商等领域的嘉宾阵容,将为广大参会者提供一场最具价值的技术交流盛会。

限时七折期:2019年8月31日前


----------------------------------------

大会官网>>
TOP技术积分榜 社区积分榜 徽章 团队 统计 知识索引树 积分竞拍 文本模式 帮助
  ITPUB首页 | ITPUB论坛 | 数据库技术 | 企业信息化 | 开发技术 | 微软技术 | 软件工程与项目管理 | IBM技术园地 | 行业纵向讨论 | IT招聘 | IT文档
  ChinaUnix | ChinaUnix博客 | ChinaUnix论坛
CopyRight 1999-2011 itpub.net All Right Reserved. 北京盛拓优讯信息技术有限公司版权所有 联系我们 
京ICP备09055130号-4  北京市公安局海淀分局网监中心备案编号:11010802021510 广播电视节目制作经营许可证:编号(京)字第1149号
  
快速回复 返回顶部 返回列表