前言

前几天看到 B 站 up 主公孙田浩投稿的视频「QQ被盗后发布赌博广告，我一气之下黑了他们网站」，看完后不禁感叹为啥自己没有那么好的运气......实际上这就是一个中规中矩的 XSS 漏洞案例，在安全圈子里面应该也算是基本操作，正好博客以前没有记录过类似的文章，那么本文就来还原一下这个攻击过程。

鉴别网站

下面是一个经典的 QQ 空间钓鱼网站：

域名分析

钓鱼网站最直观的就是看域名，可以看到目标网站域名 ：qq.xps.com 尽管域名中出现了 qq 字样，但是一级域名却是 xps.com 这一点就直接暴露了钓鱼网站的本性。

早期还有一种利用拉丁字母注册的域名伪造钓鱼网站的案例，这种就比较逼真了，下面国光简单列举一些：

OPPO 官网 真假域名

# 真域名
www.oppo.com

# 假域名
www.οppο.com