XSS钓鱼攻击演示。

什么是xss钓鱼攻击。
攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号，下面的例子即获取用户账号以及密码的钓鱼攻击。
换句话说当攻击者写入到网页的javascript将basic认证发给用户时，就等于给受害者洒下了‘鱼饵’当用户输入自己的信息时并提交时，‘鱼儿’就咬钩了

basic认证的钓鱼攻击：
在存在xss漏洞的页面去嵌入一个向用户端提交的请求程序（javascript或者是链接请求。）当用户打开了这个链接，就会向后台发送请求，后台会返回一个如上图所示的basic认证的头部。在用户的安全意识不强，为察觉出其中异样的情况下如实输入了自己的用户信息。这时候信息被发送到攻击人员的接受端。

相关的嵌入代码
相关的basic认证提示框代码
xfish原代码
具体内容：通过get()方式获取远端传输过来的账号和密码

XSS钓鱼攻击具体演示：
如前文提到的一样，假设收到一个攻击者的钓鱼URL，并访问它，点击提交。

它会弹出一个basic认证如图，
这实则是要获取用户信息并传输到接收端。这里我们暂时什么也不输入，点击取消。因为这是一个存储型的XSS，它会一直存在于web脚本中。无论哪一个用户用具体的URL访问这个页面，都会出现上图所示的存在钓鱼性质的认证窗口。

如果用户输入了相应的信息并且提交如图所示
攻击者就可以在接收端获取到相应的信息如图
信息会具体到输入时间。

但是我们任然是可以看见警告的，也就是并不会将信息发送到相应的网站而是远端，但是对于安全意思不足的用户而言，这种警告是极有可能会被忽视的。