Фишинг и CSS позиция: абсолют
Как CSS position:absolute правило на самом деле помогает фишингу?
Может кто-нибудь выручить меня, я запутался:(
2 ответа
Найдите здесь раздел "Переопределение содержимого страницы".
Мало того, что абсолютное позиционирование "помогает" фишингу, не больше, чем автомобили "помогают" вождению в нетрезвом виде. Но это инструмент, который можно использовать в злонамеренных целях.
Например, допустим, у вас есть веб-сайт, на котором пользователи могут войти и оставлять комментарии. Скажите также, что вы должным образом не дезинфицируете свой ввод и вывод, и пользователь определяет, что он может публиковать чистый HTML-контент в содержание своего сердца. Он решает создать пост, который включает в себя элемент с абсолютным позиционированием, который идентичен вашей форме входа в систему и расположен поверх нее, скрывая вашу форму. Его новая форма публикует учетные данные для входа на свой сайт, а не на ваш, и перенаправляет пользователей обратно на вашу страницу.
Пользователи, не подозревая, что что-то изменилось, вводят свои учетные данные для входа. Они снова представлены с той же страницей. Может быть, они попробуют еще раз, может быть, они нажмут "забыл пароль", может быть, они сдадутся и т.д. Кто-нибудь из ваших пользователей регистрировался на вашем сайте с теми же учетными данными, которые они использовали для входа в свою электронную почту? Их работодатель? Их банк?
По сути, сочетание небезопасного веб-сайта и некоторого специально созданного абсолютно позиционированного контента поставило под угрозу пользователей.
Смысл фишинга заключается в извлечении информации путем обмана пользователя, что мы законны / xss и т. д.
абсолютная позиция позволяет вам выйти из позиции и делать все, подумайте, как бы вы использовали это, чтобы обмануть пользователя.
Само правило не плохое или не виноват, но безопасность сайтов и самих пользователей.
я не дал вам ответ, но если вы не ленивый, вы найдете его здесь сами