文档章节

反钓鱼攻防策略

fifadxj
 fifadxj
发布于 2015/08/14 16:55
字数 699
阅读 108
收藏 6

钓鱼网站原理

钓鱼网站的主要原理是制作一个假的网站冒充目标网站,诱骗用户访问该假冒网站,获取用户输入的个人敏感信息(密码,银行卡号,身份证号等)。

下面就几种常见的钓鱼攻击的方式和防御方法进行分析:

------------------------------------------------------------------------------------------------

攻(DNS劫持)

攻击者进行DNS劫持,这种情况下域名是和目标网站完全一样的,但是用户访问的服务器的ip地址是假冒网站的ip

防(https)

网站支持https,向权威CA机构(操作系统认可的知名CA)申请x509 certificate。根据SSL/TLS协议,浏览器会在访问https网站的时候验证服务器证书中的CN项必须和所访问网站的域名一致,而验证通过的证书对应的私钥只有目标网站的服务器才拥有,假冒网站不可能拥有。这种方式可以防止DNS劫持方式的钓鱼网站。

------------------------------------------------------------------------------------------------

攻(相似域名):

攻击者申请一个和目标网站类似的url,例如申请taobaoo.com仿冒taobao.com。然后通过邮件,论坛发帖等方式传播这个假冒的url。用户点了这个url就访问了假冒网站。

防(没辙)

这个没辙,只能访问目标网站时看仔细点,确保url没错。

------------------------------------------------------------------------------------------------

攻(诱骗支付):

攻击者在目标电商网站下订单购买商品,在支付时把商户跳转到第三方支付平台的支付url保存下来。通过whatever手段,诱使用户使用该支付url访问第三方支付平台进行支付。

防(ip比较):

商户在生成支付url时,指定当前用户的ip。第三方支付平台在处理该url对应请求时,会比较url中的ip和当前访问用户的ip,如果不一致,则认为生成支付订单时的用户和当前访问的用户不是同一个用户,拒绝处理。

防(referer比较):

商户和第三方支付平台事先约定合法的referer。第三方支付平台在处理该url对应请求时,会验证当前http head中的referer是否属于对应商户的合法referer。如果验证失败,则认为当前请求不是在商户网站点击支付按钮时发起的,拒绝处理。

防(限制支付有效期):

商户在生成支付url时,指定当前订单有效期。第三方支付平台在处理该url对应请求时,会验证订单未超时。通过这种方式减少留给攻击者传播支付url的时间,增加攻击难度。

© 著作权归作者所有

fifadxj
粉丝 5
博文 28
码字总数 18063
作品 0
浦东
高级程序员
私信 提问
【北京】知名互联网安全公司招Linux内核开发工程师【猎头】

职位是中高端的,薪水20w+,欢迎大家踊跃投递简历 可发送到steven@lucky-hand.com 或加QQ284827193详聊,注明linux应聘 【岗位职责】 随着 Android 手机操作系统的普及,市场上逐渐形成了 An...

ZhangSteven
2012/04/18
694
3
游戏安全有多重要?——GAME-TECH游戏开发者技术沙龙

欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~ 本文由云+社区运营团队发布在腾讯云+社区 腾讯云GAME-TECH沙龙继3月深圳站后,将于4月13日来到北京站,与游戏厂商和游戏开发者,...

腾讯云+社区
2018/04/02
0
0
腾讯云GAME-TECH游戏开发者技术沙龙(深圳)开启报名

腾讯云GAME-TECH沙龙继1月杭州站后,将于3月30日来到深圳站,与游戏厂商和游戏开发者,畅聊游戏安全。 近年来,全球DDoS攻击持续爆发,各种黑产、外挂、游戏内非法信息等问题层出不穷,游戏行...

腾讯云加社区
2018/03/21
22
0
与 Netcraft 携手为 GlobalSign 的客户提供先进的保护措施以防止网站遭受恶意入侵和钓鱼攻击

Netcraft 反钓鱼系统支持最主流浏览器,如果安裝 GlobalSign 数字证书的网站正遭受钓鱼攻击,Netcraft 将警报本公司,使其迅速通知网站所有者或代表客户方申请 SSL 证书的托管公司。随后本公...

galobalsign
2013/02/19
40
0
腾讯云GAME-TECH游戏开发者技术沙龙(深圳)开启报名啦~

欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~。 作者:由腾讯游戏云发表在云+社区 腾讯云GAME-TECH沙龙继1月杭州站后,将于3月30日来到深圳站,与游戏厂商和游戏开发者,畅聊游...

腾讯云+社区
2018/03/21
0
0

没有更多内容

加载失败,请刷新页面

加载更多

golang-字符串-地址分析

demo package mainimport "fmt"func main() {str := "map.baidu.com"fmt.Println(&str, str)str = str[0:5]fmt.Println(&str, str)str = "abc"fmt.Println(&s......

李琼涛
今天
4
0
Spring Boot WebFlux 增删改查完整实战 demo

03:WebFlux Web CRUD 实践 前言 上一篇基于功能性端点去创建一个简单服务,实现了 Hello 。这一篇用 Spring Boot WebFlux 的注解控制层技术创建一个 CRUD WebFlux 应用,让开发更方便。这里...

泥瓦匠BYSocket
今天
6
0
从0开始学FreeRTOS-(列表与列表项)-3

FreeRTOS列表&列表项的源码解读 第一次看列表与列表项的时候,感觉很像是链表,虽然我自己的链表也不太会,但是就是感觉很像。 在FreeRTOS中,列表与列表项使用得非常多,是FreeRTOS的一个数...

杰杰1号
今天
4
0
Java反射

Java 反射 反射是框架设计的灵魂(使用的前提条件:必须先得到代表的字节码的 Class,Class 类 用于表示.class 文件(字节码)) 一、反射的概述 定义:JAVA 反射机制是在运行状态中,对于任...

zzz1122334
今天
5
0
聊聊nacos的LocalConfigInfoProcessor

序 本文主要研究一下nacos的LocalConfigInfoProcessor LocalConfigInfoProcessor nacos-1.1.3/client/src/main/java/com/alibaba/nacos/client/config/impl/LocalConfigInfoProcessor.java p......

go4it
昨天
9
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部