写了个自动往钓鱼网站里填充假帐号密码的 js 脚本,现在钓鱼网站样本征集中。

2015-08-27 16:08:33 +08:00
 TakanashiAzusa

RT 。因为这段时间好像钓鱼网站冒出来不少,而他们往往打一枪换一个洞,别的反击手段感觉成本都太高。最简单的反击方法大概就是写一堆无用帐号信息进去混淆他们的数据了。
看了下好像没其他人分享脚本,所以就自己写了个小东西。

https://gist.github.com/chitanda/25b217dbed52621dd776

目前使用方法很简单:

在钓鱼网站页面打开浏览器开发者工具,将 gist 里的代码复制到console中运行即可。自定义效果的话只需要按照函数说明的样式填写四个参数即可。 eg loopPost (10,12,2000,2000 )

另外就是虽然说是自动,不过这个脚本目前限制还是比较大的。以下几种情况是肯定应付不了的:

  1. 要求验证码认证
  2. 单一 IP 对提交次数有限制
  3. ajax 提交数据而非 form 表单方式。这个脚本目前只能应对 form 方式提交数据的站点

所以个人想征集下钓鱼网站样本,看下这个脚本的适用性如何。
希望各位以后有看到钓鱼网站的时候能往这帖子下贴个链接
也好让我对提交的时候的用户名获取和密码获取方式做个补充完善,争取做到最大覆盖范围的全自动
js 新手,代码质量一般,也顺路求指导。

2808 次点击
所在节点    分享发现
9 条回复
TakanashiAzusa
2015-08-27 16:13:41 +08:00
话说现在主贴是不能直接出 gist 预览了么- -
我试了好久没出来。感觉是不是又改规则了。。
TakanashiAzusa
2015-08-27 16:16:56 +08:00
另外对于 ajax 方式提交的网站,我想了好久没想出来怎么用 js 自动获取他们的提交链接和对应的 json 对象名称。感觉一定要做的话只能去搜索匹配对应的字符串?
ihavenoidear
2015-08-27 16:43:27 +08:00
为什么不报警呢?以为自己是蝙蝠侠,以黑易暴?
Tink
2015-08-27 16:49:41 +08:00
@ihavenoidear 这样来的更实在
TakanashiAzusa
2015-08-27 16:52:30 +08:00
@ihavenoidear
1.报警无用。
2. 我不觉得这种行为有什么不妥。
w88975
2015-08-27 17:02:15 +08:00
还是用 brup-site 实在
Felldeadbird
2015-08-27 17:08:36 +08:00
@ihavenoidear 图样图森破。 想起一个笑话:网上被人骗 1000 元。警察说低于 3000 不立案、机智的我向骗子转账了 2000 元。再去找警察。然后就没然后了。
zsx
2015-08-27 17:34:05 +08:00

想起来小学六年级用 VB 搞的这玩意了_(:з」∠)_
21grams
2015-08-27 22:32:57 +08:00
楼主好人,一生平安

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/216416

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX