四川傳媒學(xué)院的喬同學(xué)反饋說(shuō)，他和一位魔獸玩家約定交易游戲幣時(shí)，進(jìn)入對(duì)方發(fā)來(lái)的釣魚(yú)網(wǎng)站被騙200多元。令他困惑的是，這個(gè)釣魚(yú)網(wǎng)站在瀏覽器中顯示為“百度”，并被提示“此網(wǎng)站通過(guò)百度認(rèn)證，請(qǐng)安心訪問(wèn)”。

為什么百度官網(wǎng)地址會(huì)出現(xiàn)釣魚(yú)網(wǎng)站？經(jīng)過(guò)業(yè)內(nèi)人士分析，原來(lái)這個(gè)釣魚(yú)網(wǎng)站利用了百度視頻的iframe嵌套漏洞，雖然網(wǎng)址前綴顯示為v.baidu.com，實(shí)際上網(wǎng)頁(yè)已經(jīng)跳轉(zhuǎn)到釣魚(yú)網(wǎng)站的地址了。

原來(lái)，百度視頻整合其他視頻站點(diǎn)資源時(shí)，其官方網(wǎng)站的整體架構(gòu)均使用iframe嵌套的形式，把其他網(wǎng)站的視頻內(nèi)容嵌套到自身官網(wǎng)加載執(zhí)行。也就是說(shuō)，當(dāng)用戶通過(guò)百度視頻觀看來(lái)自樂(lè)視、PPS等網(wǎng)站的視頻內(nèi)容時(shí)，最終訪問(wèn)的頁(yè)面在地址欄呈現(xiàn)時(shí)均以v.baidu.com為默認(rèn)域名。百度視頻以此方式獲取流量，但也帶來(lái)了安全隱患。

由于百度視頻對(duì)嵌套加載的URL參數(shù)審查過(guò)濾不嚴(yán)，導(dǎo)致黑客可直接利用其官網(wǎng)域名加載跳轉(zhuǎn)釣魚(yú)網(wǎng)址，這也使網(wǎng)友們更加難以識(shí)別和防范。

群里有同學(xué)爆料，利用百度視頻釣魚(yú)已經(jīng)成為黑產(chǎn)流行的手法，目測(cè)一些安全廠商也開(kāi)始進(jìn)行針對(duì)性攔截。以喬同學(xué)反映的釣魚(yú)網(wǎng)站為例，如果使用360瀏覽器訪問(wèn)，已經(jīng)提示為危險(xiǎn)網(wǎng)站。