KoreanHackerTeam
Moderator
아이디어 조직을위한 것이지만 실제 사용 코드는 제공되지 않습니다. 직접 수집하십시오.
장점 : 성공률은 매우 높고 감지하기가 가장 쉽고 가장 일반적으로 사용되는 방법입니다.
단점 : phpinfo 페이지가 필요하며 조건은 가혹합니다.
장점 : 점프 없음, 도메인 이름의 변경 사항 없음.
단점 : 일반적으로 관리자가 쉽게 감지하기 쉬운 일반 페이지를 다룹니다.
장점 : 강력한 이니셔티브와 물고기를 주도 할 수 있습니다.
단점 : 비용이 높고 페이지 점프가 너무 명백하기 때문에이 방법은 감지하기가 매우 쉽습니다.
장점 : 발견하기 쉽지 않은 일반 텍스트는 높은 성공률로 직접 얻을 수 있습니다.
단점 : 각 커널 브라우저의 호환성은 다르며 최신 버전의 Google은 더 이상 HTTP 프로토콜에서 자동 충전 기능을 지원하지 않습니다.
장점 : 정보는 자세히 얻어지며 배경 계정 이름을 얻을 수도 있습니다.
단점 : 큰 제한이 있고 사용하기 쉽지 않습니다.
마스터는 추가 할 수 있습니다.
1.phpinfo页
동일한 사이트의 Phpinfo 페이지에 액세스하기 위해 상대방의 신원을 구성합니다. 동일한 도메인으로 인해 ajax 제출 액세스를 통해 ResponseText를 읽을 수 있습니다. 여기서 $ _server [ "http_cookie"]는 httponly 속성으로 쿠키를 인쇄합니다.장점 : 성공률은 매우 높고 감지하기가 가장 쉽고 가장 일반적으로 사용되는 방법입니다.
단점 : phpinfo 페이지가 필요하며 조건은 가혹합니다.
2.框架钓鱼
Iframe 태그를 통해 원격 도메인을 포함시키고 완전히 확장 된 후 원래 페이지를 다룹니다.장점 : 점프 없음, 도메인 이름의 변경 사항 없음.
단점 : 일반적으로 관리자가 쉽게 감지하기 쉬운 일반 페이지를 다룹니다.
3.跳转钓鱼
비슷한 도메인 이름을 구매하여 동일한 피싱 페이지를 만들고 피해자가 피싱 스테이션으로 점프하게하십시오.장점 : 강력한 이니셔티브와 물고기를 주도 할 수 있습니다.
단점 : 비용이 높고 페이지 점프가 너무 명백하기 때문에이 방법은 감지하기가 매우 쉽습니다.
4.历史密码
JS를 통해 위조 된 로그인 양식과 브라우저가 자동으로 채우도록 속여 브라우저에서 기억하는 과거 비밀번호를 얻습니다.장점 : 발견하기 쉽지 않은 일반 텍스트는 높은 성공률로 직접 얻을 수 있습니다.
단점 : 각 커널 브라우저의 호환성은 다르며 최신 버전의 Google은 더 이상 HTTP 프로토콜에서 자동 충전 기능을 지원하지 않습니다.
5.获取源码
XSS를 통해 백엔드 페이지 소스 코드를 받으면 무단 액세스를 찾거나 CSRF와 협력하여 새로운 사용자를 추가하거나 다른 기능을 수행하고 백엔드 JS 등을 감사하여 일부 취약점을 발견 할 수 있습니다.장점 : 정보는 자세히 얻어지며 배경 계정 이름을 얻을 수도 있습니다.
단점 : 큰 제한이 있고 사용하기 쉽지 않습니다.
마스터는 추가 할 수 있습니다.