1、概述:Web安全应用程序的安全始终是一个重要的议题,因为网站是恶意工作者的第一目标。黑客利用网络传播其恶意软件、蠕虫、垃圾及其他等等。QWASP(是一个符合501(c)全球不以营利为目的的慈善组织专注于提高软件的安全性)概括了Web应用程序中最为危险的安全漏洞,但是在不断积极的发现可能出现的新的弱点以及新的Web攻击手段。黑客总是不断的在寻找新的方法欺骗用户,因此从渗透的角度看,我们需要看到每一个可能被利用来入侵的漏洞和弱点。
2、常见的钓鱼方式有:
(1)、黑客通过钓鱼网站设下陷阱,大量收集用户个人隐私信息,贩卖个人信息或敲诈用户;
(2)、黑客通过钓鱼网站收集、记录用户网上银行账号、密码,盗窃用户的网银资金;
(3)、黑客假冒网上购物、在线支付网站、欺骗用户直接将钱打入黑客账户;
(4)、通过假冒产品和广告宣传获取用户信任,骗取用户钱财;
(5)、恶意团购网站或购物网站,假借“限时抢购”、“秒杀”、“团购”等,让用户不假思索地提供个人信息和银行账号,这些黑心网站主可直接获取用户的个人资料和网银账号密码信息,进而获利。
3、钓鱼网类型
(1)、主动用于钓鱼网站,就是高访网站、专门用于钓鱼。如:中国工商银行的官网是:www.iabc.com,钓鱼网站可能仅仅修改部分,例如:www.labc.com,钓鱼网站表面上看,内容和官网完全一样,甚至会弹出来的公告都和你平常见的页面一样。这样当你在钓鱼网站用你的银行账号与密码登录后,你的银行账号与密码就存储到钓鱼网站的数据库中,然后你的银行账号就不安全了。
(2)、另一网站本身不是专门的钓鱼网站,但由于被其他网站利用,成了钓鱼网站。一个网站如果能被框架,就有被别人网站钓鱼的风险。
4、钓鱼网站传播路径
(1)、通过QQ、MSN、阿里旺旺等客户端聊天工具发送传播钓鱼网站链接;
(2)、在搜索引擎、中小网站投放广告,吸引用户单击钓鱼网站链接,此种手段被假医药网站、假机票网站常用;
(3)、通过Email、论坛、博客、SNS网站批量发布网站钓鱼链接;
(4)、通过微博、Twitter中的短链接散布钓鱼网站链接;
(5)、通过仿冒邮件、例如冒充“银行密码重置邮件”,来欺骗用户进入钓鱼网站;
(6)、感染病毒后弹出模仿QQ、阿里旺往等聊天工具窗口,用户单击后进入钓鱼网站;
(7)、恶意导航网络、恶意下载网站弹出仿真悬浮窗口,单击后进入钓鱼网站;
(8)、伪装成用户输入网址时易发生的错误,如gogle.com、sinz.com等,一旦用户写错,就误入钓鱼网站。
5、怎样阻止呢?
某前国内有三种
(1)、使用meta元标签
<html>
<head>
<meta http-equiv = 'windows - Target' contect = 'top'>
</head>
<body></body>
</html>(2)、使用JavaScript脚本
function locationTop() {
if (top.location != self.location) {
top.location = self.location;
return false;
}
return true;
}
locationTop();这个方法用的比较多,但高手也有破解的办法,就是在父框架中加入脚本
var location = ducument.location或者
var location = ' '前台验证往往会被绕行或其他方法取代而不起作用。
(3)、使用HTTP响应头
HTTP响应头是X-Frame-Options,这个属性可以解决使用js判断会被var location破解的问题。
1956
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
