- UID
- 1
- 主题
管理员
- CN币
- 币
- 威望
- 值
- 报料奖
- 元
- 贡献
- 值
- 回复
- 帖
- 日志
- 好友
- 帖子
- 主题
- 听众
- 收听
- 性别
- 保密
|
<div id="googlead"> <script language="JavaScript" src="/ad/gg-250.js"></script></div><div id="context_main"> 人们发现世界上许多著名站点都包含CSRF攻击漏洞,连ING都不例外,最严重的情况可以导致攻击者将受害人的账户搬空.CSRF是伪造客户端请求的一种攻击,CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求.(<a href="http://www.kaiji123.com"><span style="color: #0000ff">www.kaiji123.com</span></a><span style="color: #0000ff"> 开机123--电脑初学者</span>)<br />
<p> 上面的文字可能没有仔细的说明CSRF的攻击方法,举个例子,比如你先登录了信用卡网站,网站一般都会记录下你的认证信息,比如通过cookie或者其他的方法;而后你又通过某种方式访问了看起来是YouTube网站的网址,而这个网址是被黑客处理过的,它虽然是YouTube的网址,给你的感觉也是正常的YouTube,甚至可能会有一段正常的视频,但是这个网页里面(比如通过flash、或者是视频、或者是脚本等等)可能会向黑客的邮箱发送带有你信用卡网站认证信息的邮件;这样黑客就获得了你的认证信息,而可以接管你的帐户。</p>
<p> CSRF是一种让人难以防范的漏洞,据歪歪了解,目前没有很好的监测CSRF的方法。歪歪想到的一些比较可行的防范方法:</p>
<p> 不使用网银。所谓的无招胜有招,我既然不用网银,黑客也就自然巧媳妇难为无米之炊了。(just a joke:))</p>
<p> 定期修改密码。定期修改密码永远是安全学中最提倡的一个方法。</p>
<p> 访问敏感网站(比如信用卡、网银等)后,主动清理历史记录、cookie记录、表单记录、密码记录,并重启浏览器才访问其他网站。</p>
<p> 保持浏览器更新补丁,尤其是安全补丁。同时也要留意操作系统、杀毒、防火墙等软件的更新。</p>
<p> 不要上来历不明的网站,推荐使用ms ie7的站点认证功能或者google toolbar之类辨识非法的网站。</p>
<p> 使用某些带有“隐私浏览”功能的浏览器,比如Safari。“隐私浏览”功能可以让用户在上网冲浪时不会留下任何痕迹, 浏览器不会存储cookie和其它任何资料。从而CSRF也拿不到有用的信息。<br />
ie8把它叫做“InPrivate浏览”。Chrome称作“Incognito模式”。</p>
<p> 如果浏览器提示“链接和证书域名不匹配”的警告信息时,请不要继续浏览,立即关闭浏览器或者返回上一页(如果您是网页开发者或者黑客,当我没有说)。</p>
<p> 管理好浏览器的cookie。比如在IE6.0中,打开“工具->Internet选项->隐私”对话框,这里设定了“阻止所有Cookie”、“高”、“中高”、“中”、“低”、“接受所有Cookie”六个级别,你只要拖动滑块就可以方便地进行设定,而点击下方的“编辑”按钮,在“网站地址”中输入特定的网址,就可以将其设定为允许或拒绝它们使用Cookie。</p>
<p> 禁用或限制使用Java程序及ActiveX控件(可能会导致某些正常站点访问出错)。</p>
<p> 定期清除历史记录,方法是在浏览器的选项中找到类似“清除表单”和“清除密码”的按钮,并定期点击,歪歪推荐一周一次。</p>
其实这些招数说穿了一点也不神秘,主要就是提高自己的安全意识,把敏感信息藏起来不让黑客接触到。<br />
</div> |
|