钓鱼网站是怎么制作出来的,附：钓鱼网站的形成步骤揭秘( 三 ) _经验知识

第二种：（返回上一页面） window.history.go(-1); 第三种： window.navigate(“b.html”); 第四种： self.location=’b.html’; 第五种： top.location=’b.html’;
域名的准备
1. 国外的域名。原因绑定国外的vps快速解析。没有域名备案的烦恼。如果实战场景需要避免被快速溯源可以选择开启域名隐私保护。
2. 浏览器的对抗。chrome新版本的浏览器会有钓鱼页面风险提示。猜测是根据主域名的相似度来判断的。所以我们可以用子域名混淆的方式来绕过。当然文件名可以做的逼真一些。新版本chrome浏览器会识别钓鱼页面。如图
login.0day.com/redict.html 被识别的概率较高

文章插图
login.oday.com.sso1.xyz/redict.html 识别率低

文章插图
223.21.233.22 ip方式暂时没有被浏览器识别风险问题 chrome 新版本的防钓鱼功能详见 <a href=https://blog.chromium.org/2021/07/m92-faster-and-more-efficient-phishing-detection.html>chrome M92 更快、更高效的网络钓鱼检测</a> 所以在发送邮件前测试域名是否会被识别为钓鱼页面。
获取钓鱼页面中的账号密码
1. 钓鱼演练最好能够确认用户的密码是正确的。理论上应该调用sso接口查询出该账号密码是否正确。这样输出的用户名。密码是准确的业务方不会挑战数据准确性。密码也不做保留记录只记录账号和是否是正确密码即可。
2. 如果没有sso记录。就在fake页面中password获取input表单数据的地方用md5加密密码。这样保证不会看到大量的用户明文密码。避免一些不好的影响。且项目前也把代码给一些业务方去review保证整个演练流程中不存在存储用户账密行为。

文章插图
四、批量发送邮件邮箱发送的准备
1. outlook首选。垃圾过滤机制这块白名单会好一些。注册的话。可以用10分钟邮箱注册。在利用接码平台认证邮箱。outlook改昵称方式来混淆邮箱地址。
2. henggeFish中用的大量的163邮箱。去某些交易软件搜索关键词。163的邮箱呢在配置SMTP的时候需要手机认证。目前是1个手机号认证15个邮箱。脚本是1个邮箱发10个地址。再根据演练人数就能计算需要用多少个邮箱账号了。SMTP邮箱开启后会有个临时密码。这个密码才是发送邮件脚本使用的。
3. 密送方式发送。用邮箱发送邮件的时候选择密送方式发送。这样收件人无法查看到这封邮件同时还发送给谁。但是小心会因为数据量大被ban 。切记不要随便找一个邮件组就发送邮件。导致超出演练范围的人收到邮件。
4. 所有工作准备好以后整体的去测试下全流程。