新钓鱼技术——页面双生

2025-02-14 28 0

什么是页面双生

页面双生(Twin Pages)是一种网络钓鱼攻击技术,攻击者通过创建两个相互依赖的网页——主页面和副页面,利用目标的浏览习惯和行为模式进行攻击。只有当目标同时打开这两个页面时,副页面才会动态渲染成钓鱼网页,通常表现为一个伪造的登录页面。如果仅单独打开主页面或副页面,则页面仍会显示正常内容,从而有效避免被用户察觉。

这种攻击手法巧妙地利用了目标在浏览网页时常见的行为。由于副页面的恶意内容并不会在主页面独立打开时加载,攻击者能够减少被反病毒工具或其他安全机制发现的机会。而一旦目标在打开主页面时无意中激活了副页面,副页面就会即时呈现为一个伪造的钓鱼页面,诱使目标输入敏感信息,比如用户名、密码或其他个人资料。

页面双生技术的隐蔽性和动态渲染特性使其成为网络钓鱼攻击中非常有效且难以防范的一种手段,尤其是在用户缺乏安全意识的情况下。这种攻击通常难以被传统的钓鱼防护机制检测出来,因为它依赖于两页之间的相互配合,而不是单一页面的直接伪装。

页面的构建

页面双生技术通过创建两个相互依赖的网页,只有当目标同时打开这两个页面时,副页面才会根据主页面的状态动态渲染成钓鱼登录页面。此技术利用浏览行为和页面间的交互,确保在单独打开任意一个页面时,目标无法察觉到恶意内容,从而提高攻击的隐蔽性与成功率。

主页面构建(文件名为 test.html):

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Main Page</title>
<script>
// 标记主页面已打开
function markMainPageOpened() {
window.name = 'main';  // 设置窗口名称,便于副页面识别
localStorage.setItem('mainPageOpened', 'true');  // 在localStorage中标记主页面已打开
}

// 检查副页面是否已打开,并准备钓鱼页面渲染
function checkTwinPageStatus() {
if (localStorage.getItem('twinPageOpened') === 'true') {
// 标记准备显示钓鱼页面
localStorage.setItem('showPhishing', 'true');
}
}

// 页面加载时执行的函数
window.onload = function() {
markMainPageOpened();  // 标记主页面已打开
checkTwinPageStatus();  // 检查副页面是否已打开

// 页面卸载时清理localStorage,防止数据泄漏
window.onbeforeunload = function() {
localStorage.removeItem('mainPageOpened');
localStorage.removeItem('showPhishing');
};

// 通过消息发送通知副页面
window.addEventListener("message", function(event) {
if (event.origin !== window.location.origin) return;  // 确保消息来源可靠
if (event.data === "twinPageOpened") {
localStorage.setItem('twinPageOpened', 'true');  // 标记副页面已打开
localStorage.setItem('showPhishing', 'true');  // 准备渲染钓鱼页面
}
});
};
</script>
</head>
<body>
<h1>Welcome to the Main Page</h1>
<p>This is a normal page. It will display as usual.</p>
<p>You can interact with the page as you normally would.</p>

<!-- 示例按钮,模拟向副页面发送信息 -->
<button onclick="window.open('twinPage.html', 'twin')">Open Twin

相关文章:

  1. [Meachines][Easy]Headless
  2. 脱钩实现免杀
  3. Path Traversal路径遍历内容学习笔记与靶场通关方法(附靶场地址)
  4. 路径遍历(一):PortSwigger靶场通关笔记
  5. 记一次典型的网站劫持

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

4A测评
网络安全
0 0

相关文章

[Meachines] [Easy] PC gRPC HTTP2 SQLI+KTOR-HTTP扫描+pyLoad 0.5.0 js2py滥用权限提升
x64环境下完全隐藏导入表技术全解析
[Meachines] [Easy] Wifinetic FTP匿名登录+Reaver WPS PIN密码泄露权限提升
[Meachines] [Easy] Horizontall Strapi RCE+KTOR-HTTP扫描+Laravel Monolog 权限提升
网络钓鱼即服务平台 Darcula 现已支持自动生成针对任何品牌的钓鱼工具包
如何依据GDPR起诉公司数据滥用与隐私侵犯行为

发布评论