شاید اغراق باشد ولی به تعداد آدم‌های روی زمین، راه برای حملات فیشینگ(سرقت آنلاین)که در طبقه‌بندی تکنیک‌های مهندسی اجتماعی قرار میگیرد و سرقت اطلاعات از این راه وجود دارد.روش زیر فقط یکی از راه‌های ساده فیشینگ است که در ان از یک خصوصت CSS استفاده شده و با مقداری کد جاوا اسکریپت مخلوطش کرده‌ایم.اما چطور؟

ماهیگیرها(Fishers) برای Overriding محتوای صفحه از متدهای مختلفی استفاده میکنند.یکی از متد‌های بسیار رایج وارد کردن محتوای دروغین،ساختگی و جعلی (fake) در داخل صفحه برای استفاده از تابع DHTML است.تابع DIV به حمله‌کننده اجازه قرار دادن محتوا درون یک container مجازی را میدهد که اگر یک موقعیت مطلق (absolute position) و size  را از طریق استایل CSS دریافت کند میتواند در یک موقعیت پنهان قرار بگیرد یا محتوای قرار گرفته در زیر صفحه را جایگزین کند.این محتوای مخرب ممکن است به عنوان یک URL طولانی یا با ارجاع به یک اسکریپت ذخیره شده تحویل شود.
قطعه کد زیر را که برای بازنویسی محتوای یک صفحه است را ببینید.کد خودش گویاست و نیازی به توضیح اضافی نیست:

var d = document;
d.write(\'<DIV id=\"fake\" style=\"position:absolute; left:200; top:200; z-index:2\">
<TABLE width=500 height=1000 cellspacing=0 cellpadding=14><TR>\');
d.write(\'<TD colspan=2 bgcolor=#FFFFFF valign=top height=125>\');

 این متد اجازه ساخت یک صفحه کامل را به حمله‌کننده در بالای صفحه اصلی میدهد.پس به یاد داشته باشید که خصوصیت absolute position در CSS میتواند خطرناک باشد وقتی پای جاوا اسکریپت هم در میان باشد!

ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ اگر این مطلب را دوست داشتید می‌توانید مشترک خوراک‌خوان رایت‌وب شوید تا از این پس همه مطالب بعدی رایت‌وب را در خبرخوانتان،بخوانید... ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ