文档章节

反钓鱼攻防策略

fifadxj
 fifadxj
发布于 2015/08/14 16:55
字数 699
阅读 101
收藏 6

钓鱼网站原理

钓鱼网站的主要原理是制作一个假的网站冒充目标网站,诱骗用户访问该假冒网站,获取用户输入的个人敏感信息(密码,银行卡号,身份证号等)。

下面就几种常见的钓鱼攻击的方式和防御方法进行分析:

------------------------------------------------------------------------------------------------

攻(DNS劫持)

攻击者进行DNS劫持,这种情况下域名是和目标网站完全一样的,但是用户访问的服务器的ip地址是假冒网站的ip

防(https)

网站支持https,向权威CA机构(操作系统认可的知名CA)申请x509 certificate。根据SSL/TLS协议,浏览器会在访问https网站的时候验证服务器证书中的CN项必须和所访问网站的域名一致,而验证通过的证书对应的私钥只有目标网站的服务器才拥有,假冒网站不可能拥有。这种方式可以防止DNS劫持方式的钓鱼网站。

------------------------------------------------------------------------------------------------

攻(相似域名):

攻击者申请一个和目标网站类似的url,例如申请taobaoo.com仿冒taobao.com。然后通过邮件,论坛发帖等方式传播这个假冒的url。用户点了这个url就访问了假冒网站。

防(没辙)

这个没辙,只能访问目标网站时看仔细点,确保url没错。

------------------------------------------------------------------------------------------------

攻(诱骗支付):

攻击者在目标电商网站下订单购买商品,在支付时把商户跳转到第三方支付平台的支付url保存下来。通过whatever手段,诱使用户使用该支付url访问第三方支付平台进行支付。

防(ip比较):

商户在生成支付url时,指定当前用户的ip。第三方支付平台在处理该url对应请求时,会比较url中的ip和当前访问用户的ip,如果不一致,则认为生成支付订单时的用户和当前访问的用户不是同一个用户,拒绝处理。

防(referer比较):

商户和第三方支付平台事先约定合法的referer。第三方支付平台在处理该url对应请求时,会验证当前http head中的referer是否属于对应商户的合法referer。如果验证失败,则认为当前请求不是在商户网站点击支付按钮时发起的,拒绝处理。

防(限制支付有效期):

商户在生成支付url时,指定当前订单有效期。第三方支付平台在处理该url对应请求时,会验证订单未超时。通过这种方式减少留给攻击者传播支付url的时间,增加攻击难度。

© 著作权归作者所有

共有 人打赏支持
fifadxj
粉丝 5
博文 28
码字总数 17991
作品 0
浦东
高级程序员
私信 提问
【北京】知名互联网安全公司招Linux内核开发工程师【猎头】

职位是中高端的,薪水20w+,欢迎大家踊跃投递简历 可发送到steven@lucky-hand.com 或加QQ284827193详聊,注明linux应聘 【岗位职责】 随着 Android 手机操作系统的普及,市场上逐渐形成了 An...

ZhangSteven
2012/04/18
678
3
游戏安全有多重要?——GAME-TECH游戏开发者技术沙龙

欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~ 本文由云+社区运营团队发布在腾讯云+社区 腾讯云GAME-TECH沙龙继3月深圳站后,将于4月13日来到北京站,与游戏厂商和游戏开发者,...

腾讯云+社区
2018/04/02
0
0
腾讯云GAME-TECH游戏开发者技术沙龙(深圳)开启报名

腾讯云GAME-TECH沙龙继1月杭州站后,将于3月30日来到深圳站,与游戏厂商和游戏开发者,畅聊游戏安全。 近年来,全球DDoS攻击持续爆发,各种黑产、外挂、游戏内非法信息等问题层出不穷,游戏行...

腾讯云加社区
2018/03/21
0
0
与 Netcraft 携手为 GlobalSign 的客户提供先进的保护措施以防止网站遭受恶意入侵和钓鱼攻击

Netcraft 反钓鱼系统支持最主流浏览器,如果安裝 GlobalSign 数字证书的网站正遭受钓鱼攻击,Netcraft 将警报本公司,使其迅速通知网站所有者或代表客户方申请 SSL 证书的托管公司。随后本公...

galobalsign
2013/02/19
0
0
腾讯云GAME-TECH游戏开发者技术沙龙(深圳)开启报名啦~

欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~。 作者:由腾讯游戏云发表在云+社区 腾讯云GAME-TECH沙龙继1月杭州站后,将于3月30日来到深圳站,与游戏厂商和游戏开发者,畅聊游...

腾讯云+社区
2018/03/21
0
0

没有更多内容

加载失败,请刷新页面

加载更多

CSS 选择器参考手册

CSS 选择器参考手册 选择器 描述 [attribute] 用于选取带有指定属性的元素。 [attribute=value] 用于选取带有指定属性和值的元素。 [attribute~=value] 用于选取属性值中包含指定词汇的元素。...

Jack088
今天
1
0
数据库篇一

数据库篇 第1章 数据库介绍 1.1 数据库概述  什么是数据库(DB:DataBase) 数据库就是存储数据的仓库,其本质是一个文件系统,数据按照特定的格式将数据存储起来,用户可以对数据库中的数据...

stars永恒
今天
2
0
Intellij IDEA中设置了jsp页面,但是在访问页面时却提示404

在Intellij IDEA中设置了spring boot的jsp页面,但是在访问时,却出现404,Not Found,经过查找资料后解决,步骤如下: 在Run/Debug Configurations面板中设置该程序的Working Directory选项...

uknow8692
昨天
3
0
day24:文档第五行增内容|每月1号压缩/etc/目录|过滤文本重复次数多的10个单词|人员分组|

1、在文本文档1.txt里第五行下面增加如下内容;两个方法; # This is a test file.# Test insert line into this file. 分析:给文档后增加内容,可以用sed 来搞定;也可以用while do done...

芬野de博客
昨天
3
0
深入理解JVM—JVM内存模型

深入理解JVM—JVM内存模型 我们知道,计算机CPU和内存的交互是最频繁的,内存是我们的高速缓存区,用户磁盘和CPU的交互,而CPU运转速度越来越快,磁盘远远跟不上CPU的读写速度,才设计了内存...

onedotdot
昨天
3
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部