这种山寨域名欺骗用户的HTTPS中间人思路是可行的吗
你的思路完全正确,这么多专家搞的preloading-hsts怎么可能出现弱智漏洞。但是你忽略了一点,HSTS前提是在网址输入正确的情况下防止SSLStrip的。钓鱼网站是简单粗暴的给你发一个假链接让你点。第一步网址都输错了,神都救不了了。
■网友
第一步还是一样的,先劫持普通HTTP,然后将协议中明文的HTTPS的替换成HTTP,只不过这里是替换成别的域名了
■网友
我认为是笔误:例如,将原本 http://www.alipay.com 的链接,跳转到 http://www.alipay.cn 这个钓鱼网站,仍会有不少用户觉察不到。
或者:例如,将原本 https://www.alipay.com 的链接,篡改为 https://www.alipay.cn 这个钓鱼网站,仍会有不少用户觉察不到。
推荐阅读
- 家里这种床单可不要扔了,要比古董还值钱,难怪有钱人都收藏起来
- 『呼吸衰竭』这种病小心拖成呼吸衰竭! 天冷了别大意
- 坐标合肥,请问在哪里能捕捉到程序员这种生物他们大都出现在哪里呢
- 西安两男子从网上学会这种技术,竟专门用来......刑拘!
- 路虎|15万买国产山寨揽胜,路虎车主看了直摇头
- 啥人会去买iPhone 8这种产品呢
- 「巧克力中富含黄烷醇,能够增强脑部活动能力;因此人均巧克力消费量越高的国家,按人口平均计算的诺贝尔奖得主人数就越多。」这种说法科学么
- 如果把DNS从godaddy转到DNSPOD是不是所有的二级域名都要重新设置,然后等这个各个ISP的缓存重新解析啊
- 咋自己发布网站
- 淘宝上有啥体验不错的假货,赝品或者山寨货?