怎样避免CSRF攻击

admin · 发表于 2010-12-28 00:19:10

<div id="googlead"> <script language="JavaScript" src="/ad/gg-250.js"></script></div><div id="context_main">      人们发现世界上许多著名站点都包含CSRF攻击漏洞,连ING都不例外,最严重的情况可以导致攻击者将受害人的账户搬空.CSRF是伪造客户端请求的一种攻击,CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求.（<a href="http://www.kaiji123.com">www.kaiji123.com</a>   开机123--电脑初学者） 
     上面的文字可能没有仔细的说明CSRF的攻击方法，举个例子，比如你先登录了信用卡网站，网站一般都会记录下你的认证信息，比如通过cookie或者其他的方法；而后你又通过某种方式访问了看起来是YouTube网站的网址，而这个网址是被黑客处理过的，它虽然是YouTube的网址，给你的感觉也是正常的YouTube，甚至可能会有一段正常的视频，但是这个网页里面（比如通过flash、或者是视频、或者是脚本等等）可能会向黑客的邮箱发送带有你信用卡网站认证信息的邮件；这样黑客就获得了你的认证信息，而可以接管你的帐户。
     CSRF是一种让人难以防范的漏洞，据歪歪了解，目前没有很好的监测CSRF的方法。歪歪想到的一些比较可行的防范方法：
     不使用网银。所谓的无招胜有招，我既然不用网银，黑客也就自然巧媳妇难为无米之炊了。（just a joke:)）
     定期修改密码。定期修改密码永远是安全学中最提倡的一个方法。
     访问敏感网站（比如信用卡、网银等）后，主动清理历史记录、cookie记录、表单记录、密码记录，并重启浏览器才访问其他网站。
     保持浏览器更新补丁，尤其是安全补丁。同时也要留意操作系统、杀毒、防火墙等软件的更新。
     不要上来历不明的网站，推荐使用ms ie7的站点认证功能或者google toolbar之类辨识非法的网站。
     使用某些带有“隐私浏览”功能的浏览器，比如Safari。“隐私浏览”功能可以让用户在上网冲浪时不会留下任何痕迹, 浏览器不会存储cookie和其它任何资料。从而CSRF也拿不到有用的信息。 
ie8把它叫做“InPrivate浏览”。Chrome称作“Incognito模式”。
      如果浏览器提示“链接和证书域名不匹配”的警告信息时，请不要继续浏览，立即关闭浏览器或者返回上一页（如果您是网页开发者或者黑客，当我没有说）。
      管理好浏览器的cookie。比如在IE6.0中，打开“工具->Internet选项->隐私”对话框，这里设定了“阻止所有Cookie”、“高”、“中高”、“中”、“低”、“接受所有Cookie”六个级别，你只要拖动滑块就可以方便地进行设定，而点击下方的“编辑”按钮，在“网站地址”中输入特定的网址，就可以将其设定为允许或拒绝它们使用Cookie。
      禁用或限制使用Java程序及ActiveX控件（可能会导致某些正常站点访问出错）。
      定期清除历史记录，方法是在浏览器的选项中找到类似“清除表单”和“清除密码”的按钮，并定期点击，歪歪推荐一周一次。
      其实这些招数说穿了一点也不神秘，主要就是提高自己的安全意识，把敏感信息藏起来不让黑客接触到。 
 </div>

yangzefu · 发表于 2011-1-31 00:19:29

(^_^)

lijinquan158 · 发表于 2011-3-27 06:55:22

风物长宜放眼量

吴编辑 · 发表于 2011-5-21 15:19:47

提示: 作者被禁止或删除内容自动屏蔽

yin5006 · 发表于 2011-5-23 06:51:53

谢谢楼主啊！支持常宁

帐号		自动登录	找回密码
密码			免费注册

吴编辑吴编辑当前离线 UID 2089 主题禁止发言ＣＮ币币威望值报料奖元贡献值回复帖日志好友帖子主题听众收听性别保密 IP卡狗仔卡头像被屏蔽	发表于 2011-5-21 15:19:47 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽

	回复支持反对使用道具举报显身卡