文档章节

反钓鱼攻防策略

fifadxj
 fifadxj
发布于 2015/08/14 16:55
字数 699
阅读 97
收藏 6

钓鱼网站原理

钓鱼网站的主要原理是制作一个假的网站冒充目标网站,诱骗用户访问该假冒网站,获取用户输入的个人敏感信息(密码,银行卡号,身份证号等)。

下面就几种常见的钓鱼攻击的方式和防御方法进行分析:

------------------------------------------------------------------------------------------------

攻(DNS劫持)

攻击者进行DNS劫持,这种情况下域名是和目标网站完全一样的,但是用户访问的服务器的ip地址是假冒网站的ip

防(https)

网站支持https,向权威CA机构(操作系统认可的知名CA)申请x509 certificate。根据SSL/TLS协议,浏览器会在访问https网站的时候验证服务器证书中的CN项必须和所访问网站的域名一致,而验证通过的证书对应的私钥只有目标网站的服务器才拥有,假冒网站不可能拥有。这种方式可以防止DNS劫持方式的钓鱼网站。

------------------------------------------------------------------------------------------------

攻(相似域名):

攻击者申请一个和目标网站类似的url,例如申请taobaoo.com仿冒taobao.com。然后通过邮件,论坛发帖等方式传播这个假冒的url。用户点了这个url就访问了假冒网站。

防(没辙)

这个没辙,只能访问目标网站时看仔细点,确保url没错。

------------------------------------------------------------------------------------------------

攻(诱骗支付):

攻击者在目标电商网站下订单购买商品,在支付时把商户跳转到第三方支付平台的支付url保存下来。通过whatever手段,诱使用户使用该支付url访问第三方支付平台进行支付。

防(ip比较):

商户在生成支付url时,指定当前用户的ip。第三方支付平台在处理该url对应请求时,会比较url中的ip和当前访问用户的ip,如果不一致,则认为生成支付订单时的用户和当前访问的用户不是同一个用户,拒绝处理。

防(referer比较):

商户和第三方支付平台事先约定合法的referer。第三方支付平台在处理该url对应请求时,会验证当前http head中的referer是否属于对应商户的合法referer。如果验证失败,则认为当前请求不是在商户网站点击支付按钮时发起的,拒绝处理。

防(限制支付有效期):

商户在生成支付url时,指定当前订单有效期。第三方支付平台在处理该url对应请求时,会验证订单未超时。通过这种方式减少留给攻击者传播支付url的时间,增加攻击难度。

© 著作权归作者所有

共有 人打赏支持
fifadxj
粉丝 5
博文 28
码字总数 17507
作品 0
浦东
高级程序员
游戏安全有多重要?——GAME-TECH游戏开发者技术沙龙

欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~ 本文由云+社区运营团队发布在腾讯云+社区 腾讯云GAME-TECH沙龙继3月深圳站后,将于4月13日来到北京站,与游戏厂商和游戏开发者,...

腾讯云+社区
04/02
0
0
腾讯云GAME-TECH游戏开发者技术沙龙(深圳)开启报名

腾讯云GAME-TECH沙龙继1月杭州站后,将于3月30日来到深圳站,与游戏厂商和游戏开发者,畅聊游戏安全。 近年来,全球DDoS攻击持续爆发,各种黑产、外挂、游戏内非法信息等问题层出不穷,游戏行...

腾讯云加社区
03/21
0
0
互联网+时代,共同建造云安全架构互联生态体系

在互联网+时代,首先企业公有云、私有云的应用,云化趋势迫使形势越来越复杂。防范的难度也随之叠加。再一个是攻防时间严重失衡,当黑客入侵的周期非常短,74%的攻击可以在一天内破译,而检测...

你好伤人
03/08
0
0
腾讯云GAME-TECH游戏开发者技术沙龙(深圳)开启报名啦~

欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~。 作者:由腾讯游戏云发表在云+社区 腾讯云GAME-TECH沙龙继1月杭州站后,将于3月30日来到深圳站,与游戏厂商和游戏开发者,畅聊游...

腾讯云+社区
03/21
0
0
与 Netcraft 携手为 GlobalSign 的客户提供先进的保护措施以防止网站遭受恶意入侵和钓鱼攻击

Netcraft 反钓鱼系统支持最主流浏览器,如果安裝 GlobalSign 数字证书的网站正遭受钓鱼攻击,Netcraft 将警报本公司,使其迅速通知网站所有者或代表客户方申请 SSL 证书的托管公司。随后本公...

galobalsign
2013/02/19
0
0

没有更多内容

加载失败,请刷新页面

加载更多

学习设计模式——命令模式

任何模式的出现,都是为了解决一些特定的场景的耦合问题,以达到对修改封闭,对扩展开放的效果。命令模式也不例外: 命令模式是为了解决命令的请求者和命令的实现者之间的耦合关系。 解决了这...

江左煤郎
30分钟前
1
0
字典树收集(非线程安全,后续做线程安全改进)

将500W个单词放进一个数据结构进行存储,然后进行快速比对,判断一个单词是不是这个500W单词之中的;来了一个单词前缀,给出500w个单词中有多少个单词是该前缀. 1、这个需求首先需要设计好数据结...

算法之名
昨天
7
0
GRASP设计模式

此文参考了这篇博客,建议读者阅读原文。 面向对象(Object-Oriented,OO)是当下软件开发的主流方法。在OO分析与设计中,我们首先从问题领域中抽象出领域模型,在领域模型中以适当的粒度归纳...

克虏伯
昨天
0
0
Coding and Paper Letter(四十)

资源整理。 1 Coding: 1.Tomislav Hengl撰写的非官方作者指南:Michael Gould•Wouter Gerritsma。 UnofficialGuide4Authors 2.R语言包rwrfhydro,社区贡献的工具箱,用于管理,分析和可视化...

胖胖雕
昨天
0
0
JAVA 内存回收

参考:https://www.cnblogs.com/leesf456/p/5218594.html 1,JMV 中哪些可以作为 GC Root? 1. 虚拟机栈(栈帧中的局部变量区,也叫做局部变量表)中引用的对象。 2. 方法区中的类静态属性引...

Carlyle_Lee
昨天
1
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部