钓鱼网站变身百度官网？原来是百度漏洞被利用

四川传媒学院的乔同学反馈说，他和一位魔兽玩家约定交易游戏币时，进入对方发来的钓鱼网站被骗200多元。令他困惑的是，这个钓鱼网站在浏览器中显示为“百度”，并被提示“此网站通过百度认证，请安心访问”。

为什么百度官网地址会出现钓鱼网站？经过业内人士分析，原来这个钓鱼网站利用了百度视频的iframe嵌套漏洞，虽然网址前缀显示为v.baidu.com，实际上网页已经跳转到钓鱼网站的地址了。

原来，百度视频整合其他视频站点资源时，其官方网站的整体架构均使用iframe嵌套的形式，把其他网站的视频内容嵌套到自身官网加载执行。也就是说，当用户通过百度视频观看来自乐视、PPS等网站的视频内容时，最终访问的页面在地址栏呈现时均以v.baidu.com为默认域名。百度视频以此方式获取流量，但也带来了安全隐患。

由于百度视频对嵌套加载的URL参数审查过滤不严，导致黑客可直接利用其官网域名加载跳转钓鱼网址，这也使网友们更加难以识别和防范。

群里有同学爆料，利用百度视频钓鱼已经成为黑产流行的手法，目测一些安全厂商也开始进行针对性拦截。以乔同学反映的钓鱼网站为例，如果使用360浏览器访问，已经提示为危险网站。

责任编辑：wb001

文章来源：http://www.72177.com/html/201401/07/1513270.htm