当网页中插入的图片服务器,返回401状态码(代表着一个未授权的访问),浏览器会自动弹出授权提示,这时需要浏览者输入用户名和密码,获得浏览权限之后才能继续访问。黑客利用这一原则,可以骗取到浏览者的账号和密码,存在一定的危害性。
在访问论坛的时候,如果弹出了上面这个需要输入账号和密码的验证框,相信很多人都会将自己的论坛账号和密码输入进去,这样一来你的账号就很有可能被别人通过钓鱼的方式骗走了。
通过抓包可以发现,当浏览者输入完账号和密码之后,会将我们的输入内容通过冒号进行连接,Base64加密之后,做为Authorization的参数发给目标服务器,如果目标服务器将这一数据记录下来,你的账号就被骗走了。
这种钓鱼方式只要一个网站能够插入远程图片,就可以实现,算是设计缺陷,所以在游戏论坛,社交网站等弹出这个验证框,还是蛮有危害的,很多人会以为是网站内部弹出的验证框,从而上当受骗。
……