基于JXWAF快速搭建钓鱼网站
字数 921 2025-08-18 11:37:15

基于JXWAF快速搭建钓鱼网站的教学文档

一、概述

本教学文档详细介绍了如何利用JXWAF快速搭建钓鱼网站,主要用于安全意识培训和钓鱼邮件演练。该方法通过反向代理技术实现钓鱼网站搭建,具有隐蔽性强、不易被察觉的特点。

二、准备工作

  1. 域名注册

    • 注册与目标网站相似的钓鱼域名(如目标域名为oa.testing.com,可注册oa.testlng.com)
    • 将钓鱼域名解析指向钓鱼网站服务器IP

  2. JXWAF环境搭建

    • 参考官方GitHub仓库:https://github.com/jx-sec/jxwaf
    • 完成JXWAF的基本安装和配置

三、钓鱼网站搭建步骤

1. 目标网站分析

以DVWA作为示例OA系统进行分析:

  • 登录失败特征
    • 响应中Location指向login.php
  • 登录成功特征
    • 响应中Location指向index.php

2. JXWAF规则配置

在JXWAF中新建"钓鱼专用规则"规则组:

方案一:直接记录所有输入账号密码(简单方式)

配置规则:

规则类型:响应规则
规则名称:记录所有登录尝试
匹配条件:POST请求且URL包含login.php
动作:记录POST数据中的username和password字段

方案二:仅记录登录失败的账号

配置规则:

规则类型:响应规则
规则名称:记录失败登录
匹配条件:
  - POST请求且URL包含login.php
  - 响应头中Location包含login.php
动作:记录POST数据中的username和password字段

方案三:仅记录登录成功的账号

配置规则:

规则类型:响应规则
规则名称:记录成功登录
匹配条件:
  - POST请求且URL包含login.php
  - 响应头中Location包含index.php
动作:记录POST数据中的username和password字段

3. 反向代理配置

  • 配置JXWAF反向代理指向真实的目标网站地址
  • 确保钓鱼网站除域名外其他内容与真实网站完全一致

四、技术优势

  1. 隐蔽性强

    • 钓鱼网站内容与真实网站完全一致(通过反向代理实现)
    • 仅域名有细微差别,不易引起警觉

  2. 安全性高

    • 所有攻击流量(如XSS、SQL注入)会被导向真实网站
    • 钓鱼网站本身不处理这些攻击,避免被反制

  3. 数据收集准确

    • 能够区分成功和失败的登录尝试
    • 可识别用户测试行为(如故意输入错误密码)

五、注意事项

  1. 合法使用

    • 仅用于授权范围内的安全意识培训和测试
    • 严禁用于非法用途

  2. 演练后处理

    • 及时关闭钓鱼网站
    • 妥善处理收集的测试数据
    • 对参与人员进行安全意识教育

  3. 技术限制

    • 不适用于HTTPS网站(需额外配置SSL证书)
    • 对动态内容较多的网站可能需要更复杂的规则配置

六、总结

通过JXWAF搭建钓鱼网站是一种高效、隐蔽的方法,特别适合企业内部安全意识培训。该方法配置简单,只需几分钟即可完成规则设置,同时能够提供真实的钓鱼体验和准确的数据收集。

基于JXWAF快速搭建钓鱼网站的教学文档 一、概述 本教学文档详细介绍了如何利用JXWAF快速搭建钓鱼网站,主要用于安全意识培训和钓鱼邮件演练。该方法通过反向代理技术实现钓鱼网站搭建,具有隐蔽性强、不易被察觉的特点。 二、准备工作 域名注册 : 注册与目标网站相似的钓鱼域名(如目标域名为oa.testing.com,可注册oa.testlng.com) 将钓鱼域名解析指向钓鱼网站服务器IP JXWAF环境搭建 : 参考官方GitHub仓库:https://github.com/jx-sec/jxwaf 完成JXWAF的基本安装和配置 三、钓鱼网站搭建步骤 1. 目标网站分析 以DVWA作为示例OA系统进行分析: 登录失败特征 : 响应中Location指向login.php 登录成功特征 : 响应中Location指向index.php 2. JXWAF规则配置 在JXWAF中新建"钓鱼专用规则"规则组: 方案一:直接记录所有输入账号密码(简单方式) 配置规则: 方案二:仅记录登录失败的账号 配置规则: 方案三:仅记录登录成功的账号 配置规则: 3. 反向代理配置 配置JXWAF反向代理指向真实的目标网站地址 确保钓鱼网站除域名外其他内容与真实网站完全一致 四、技术优势 隐蔽性强 : 钓鱼网站内容与真实网站完全一致(通过反向代理实现) 仅域名有细微差别,不易引起警觉 安全性高 : 所有攻击流量(如XSS、SQL注入)会被导向真实网站 钓鱼网站本身不处理这些攻击,避免被反制 数据收集准确 : 能够区分成功和失败的登录尝试 可识别用户测试行为(如故意输入错误密码) 五、注意事项 合法使用 : 仅用于授权范围内的安全意识培训和测试 严禁用于非法用途 演练后处理 : 及时关闭钓鱼网站 妥善处理收集的测试数据 对参与人员进行安全意识教育 技术限制 : 不适用于HTTPS网站(需额外配置SSL证书) 对动态内容较多的网站可能需要更复杂的规则配置 六、总结 通过JXWAF搭建钓鱼网站是一种高效、隐蔽的方法,特别适合企业内部安全意识培训。该方法配置简单,只需几分钟即可完成规则设置,同时能够提供真实的钓鱼体验和准确的数据收集。