基于JXWAF快速搭建钓鱼网站的教学文档<\/h1>

一、概述<\/h2>
本教学文档详细介绍了如何利用JXWAF快速搭建钓鱼网站，主要用于安全意识培训和钓鱼邮件演练。该方法通过反向代理技术实现钓鱼网站搭建，具有隐蔽性强、不易被察觉的特点。<\/p>

二、准备工作<\/h2>

域名注册<\/strong>：<\/p>

注册与目标网站相似的钓鱼域名（如目标域名为oa.testing.com，可注册oa.testlng.com）<\/li>
将钓鱼域名解析指向钓鱼网站服务器IP<\/li> <\/ul> <\/li>

JXWAF环境搭建<\/strong>：<\/p>

参考官方GitHub仓库：https:\/\/github.com\/jx-sec\/jxwaf<\/li>
完成JXWAF的基本安装和配置<\/li> <\/ul> <\/li> <\/ol>
三、钓鱼网站搭建步骤<\/h2>
1. 目标网站分析<\/h3>
以DVWA作为示例OA系统进行分析：<\/p>

登录失败特征<\/strong>：

响应中Location指向login.php<\/li> <\/ul> <\/li>
登录成功特征<\/strong>：

响应中Location指向index.php<\/li> <\/ul> <\/li> <\/ul>
2. JXWAF规则配置<\/h3>
在JXWAF中新建"钓鱼专用规则"规则组：<\/p>
方案一：直接记录所有输入账号密码（简单方式）<\/h4>
配置规则：<\/p>
规则类型：响应规则规则名称：记录所有登录尝试匹配条件：POST请求且URL包含login.php 动作：记录POST数据中的username和password字段 <\/code><\/pre> 方案二：仅记录登录失败的账号<\/h4> 配置规则：<\/p> 规则类型：响应规则规则名称：记录失败登录匹配条件： - POST请求且URL包含login.php - 响应头中Location包含login.php 动作：记录POST数据中的username和password字段 <\/code><\/pre> 方案三：仅记录登录成功的账号<\/h4> 配置规则：<\/p> 规则类型：响应规则规则名称：记录成功登录匹配条件： - POST请求且URL包含login.php - 响应头中Location包含index.php 动作：记录POST数据中的username和password字段 <\/code><\/pre> 3. 反向代理配置<\/h3> 配置JXWAF反向代理指向真实的目标网站地址<\/li> 确保钓鱼网站除域名外其他内容与真实网站完全一致<\/li> <\/ul> 四、技术优势<\/h2> 隐蔽性强<\/strong>：<\/p> 钓鱼网站内容与真实网站完全一致（通过反向代理实现）<\/li> 仅域名有细微差别，不易引起警觉<\/li> <\/ul> <\/li> 安全性高<\/strong>：<\/p> 所有攻击流量（如XSS、SQL注入）会被导向真实网站<\/li> 钓鱼网站本身不处理这些攻击，避免被反制<\/li> <\/ul> <\/li> 数据收集准确<\/strong>：<\/p> 能够区分成功和失败的登录尝试<\/li> 可识别用户测试行为（如故意输入错误密码）<\/li> <\/ul> <\/li> <\/ol> 五、注意事项<\/h2> 合法使用<\/strong>：<\/p> 仅用于授权范围内的安全意识培训和测试<\/li> 严禁用于非法用途<\/li> <\/ul> <\/li> 演练后处理<\/strong>：<\/p> 及时关闭钓鱼网站<\/li> 妥善处理收集的测试数据<\/li> 对参与人员进行安全意识教育<\/li> <\/ul> <\/li> 技术限制<\/strong>：<\/p> 不适用于HTTPS网站（需额外配置SSL证书）<\/li> 对动态内容较多的网站可能需要更复杂的规则配置<\/li> <\/ul> <\/li> <\/ol> 六、总结<\/h2> 通过JXWAF搭建钓鱼网站是一种高效、隐蔽的方法，特别适合企业内部安全意识培训。该方法配置简单，只需几分钟即可完成规则设置，同时能够提供真实的钓鱼体验和准确的数据收集。<\/p>

基于JXWAF快速搭建钓鱼网站的教学文档<\/h1>

一、概述<\/h2> 本教学文档详细介绍了如何利用JXWAF快速搭建钓鱼网站，主要用于安全意识培训和钓鱼邮件演练。该方法通过反向代理技术实现钓鱼网站搭建，具有隐蔽性强、不易被察觉的特点。<\/p>

三、钓鱼网站搭建步骤<\/h2>

2. JXWAF规则配置<\/h3> 在JXWAF中新建"钓鱼专用规则"规则组：<\/p>

六、总结<\/h2> 通过JXWAF搭建钓鱼网站是一种高效、隐蔽的方法，特别适合企业内部安全意识培训。该方法配置简单，只需几分钟即可完成规则设置，同时能够提供真实的钓鱼体验和准确的数据收集。<\/p>

一、概述<\/h2>
本教学文档详细介绍了如何利用JXWAF快速搭建钓鱼网站，主要用于安全意识培训和钓鱼邮件演练。该方法通过反向代理技术实现钓鱼网站搭建，具有隐蔽性强、不易被察觉的特点。<\/p>

2. JXWAF规则配置<\/h3>
在JXWAF中新建"钓鱼专用规则"规则组：<\/p>

六、总结<\/h2>
通过JXWAF搭建钓鱼网站是一种高效、隐蔽的方法，特别适合企业内部安全意识培训。该方法配置简单，只需几分钟即可完成规则设置，同时能够提供真实的钓鱼体验和准确的数据收集。<\/p>