利用sohu网站URL跳转漏洞欺骗邮箱密码

　　

　　这串字符中的“signup_success.jsp”页面是做什么的呢?反正sohu免费注册，我们来试一下。原来注册成功后，跳转到了这个页面。如果这个地址是其他地方的呢?现在改掉地址栏地址，替换为IT168安全频道的首页：http://passport.sohu.com/web/signup.jsp?appid=1000&ru=http://safe.it168.com/，然后开始注册。

　　

　　最后居然跳到了IT168安全频道的首页了。

　　1 sohu原本的注册流程是这样的：注册--处理注册信息--注册成功--跳转到成功页面--点页面链接自动登录--登录后跳转到mail.sohu.com。如下图：

　　

　　而跳转后的页面我们可以控制，所以流程可以被我们改为：注册--处理注册信息--注册成功--跳转到伪造的登录页面--用户输入密码点登录--提交密码给我们--最后跳转到mail.sohu.com。

　　

　　下面按照修改后的流程注册。

　　

　　首先准备好工具，一个伪造的sohu登录页面(欺骗用)，一个ASP页面(接收发来的密码并保存)。打开mail.sohu.com，照原样复制一份HTML源代码，为了让用户更容易受骗，还要在登录口写上“请登录”字样.

　　因为sohu在登录的地方使用了自己的控件，看不到登录框的代码，操作登录的元素就比较麻烦了，还好微软提供了Ietoolbar这个IE的插件，可以看到sohu登录控件的名称，等登录控件加载完成，就可以对他进行操作了。

　　从抓包的数据中可以看出这个控件使用了AJAX，不知道他在页面触发AJAX的函数是什么，可能是onclick()也可能是别的，在写代码的时候必须保证让sohu的登录代码在我们提交密码到自己的asp页面(用来保存密码的页面)之后执行。无论他的函数是什么，我们都可以拦截，使用JS函数劫持技术，其实就是面向对象语言中的“方法重写”技术。

　　a.html代码(伪造的登录页面)：

　　........................

　　

　　(一直到页面结束的标签)

　　.....................上面是mail.sohu.com页面的代码，.................

　　. 我们要加的代码从下面开始, 把“ajaxurltmp”的值改为asp文件的地址：