四川傳媒學(xué)院的喬同學(xué)反饋說，他和一位魔獸玩家約定交易游戲幣時，進(jìn)入對方發(fā)來的釣魚網(wǎng)站被騙200多元。令他困惑的是，這個釣魚網(wǎng)站在瀏覽器中顯示為“百度”，并被提示“此網(wǎng)站通過百度認(rèn)證，請安心訪問”。

為什么百度官網(wǎng)地址會出現(xiàn)釣魚網(wǎng)站？經(jīng)過業(yè)內(nèi)人士分析，原來這個釣魚網(wǎng)站利用了百度視頻的iframe嵌套漏洞，雖然網(wǎng)址前綴顯示為v.baidu.com，實際上網(wǎng)頁已經(jīng)跳轉(zhuǎn)到釣魚網(wǎng)站的地址了。

原來，百度視頻整合其他視頻站點資源時，其官方網(wǎng)站的整體架構(gòu)均使用iframe嵌套的形式，把其他網(wǎng)站的視頻內(nèi)容嵌套到自身官網(wǎng)加載執(zhí)行。也就是說，當(dāng)用戶通過百度視頻觀看來自樂視、PPS等網(wǎng)站的視頻內(nèi)容時，最終訪問的頁面在地址欄呈現(xiàn)時均以v.baidu.com為默認(rèn)域名。百度視頻以此方式獲取流量，但也帶來了安全隱患。

由于百度視頻對嵌套加載的URL參數(shù)審查過濾不嚴(yán)，導(dǎo)致黑客可直接利用其官網(wǎng)域名加載跳轉(zhuǎn)釣魚網(wǎng)址，這也使網(wǎng)友們更加難以識別和防范。

群里有同學(xué)爆料，利用百度視頻釣魚已經(jīng)成為黑產(chǎn)流行的手法，目測一些安全廠商也開始進(jìn)行針對性攔截。以喬同學(xué)反映的釣魚網(wǎng)站為例，如果使用360瀏覽器訪問，已經(jīng)提示為危險網(wǎng)站。