クラシックWebセキュリティの欠陥(フレームワーク釣りリスク)
3364 ワード
1、概要:Webセキュリティアプリケーションのセキュリティは常に重要な議題であり、ウェブサイトは悪意のある労働者の第一の目標であるからである.ハッカーはネットワークを利用して悪意のあるソフトウェア、ワーム、ゴミ、その他などを伝播します.QWASP(501に該当する(c)世界で営利を目的としない慈善団体はソフトウェアのセキュリティ向上に専念している)Webアプリケーションの中で最も危険なセキュリティホールを要約しているが、出現する可能性のある新しい弱点と新しいWeb攻撃手段を絶えず積極的に発見している.ハッカーはいつも新しい方法を探してユーザーをだましているので、浸透の観点から見ると、私たちはすべての可能性を見る必要がある.侵入に利用される抜け穴と弱点.2、よくある钓り方は、(1)、ハッカーが钓りサイトを通じて罠を仕掛け、ユーザーのプライバシー情报を大量に収集し、个人情报を贩売したり、ユーザーをだましたりする.(2)、ハッカーは釣りサイトを通じてユーザーのネットバンク口座、パスワードを収集、記録し、ユーザーのネットバンク資金を盗む.(3)、ハッカーはネットショッピング、オンライン決済サイト、ユーザーをだまして直接ハッカー口座にお金を振り込む.(4)、偽製品と広告宣伝を通じてユーザーの信頼を獲得し、ユーザーの金銭をだまし取る.(5)、悪意のある団体購入サイトやショッピングサイトは、「期限付き買い占め」、「秒殺」、「団体購入」などを借りて、ユーザーに個人情報や銀行口座を提供させる.3、钓りネットタイプ(1)、钓りサイトに积极的に使用する、高访サイト、钓り専用.例えば、中国工商銀行の公式サイトはwww.iabc.com、釣りサイトは一部だけを修正する可能性があります.例えば、www.labc.com、釣りサイトは表面的に見ると、内容は公式サイトと全く同じで、弾き出す公告もあなたが普段見ているページと同じです.このように、釣りサイトで銀行口座とパスワードでログインすると、銀行口座とパスワードが釣りサイトのデータベースに保存され、銀行口座は安全ではありません.(2)、もう一つのサイト自体は専門の釣りサイトではないが、他のサイトに利用されているため、釣りサイトとなっている.一つのサイトがフレームワークされると、他のサイトに釣りをされるリスクがあります.4、钓りサイトの伝播経路(1)、QQ、MSN、アリワンワンなどのクライアントチャットツールを通じて钓りサイトのリンクを送信する.(2)、検索エンジン、中小サイトに広告を投入し、ユーザーを引きつけて釣りサイトのリンクをクリックし、この手段は偽医薬サイト、偽航空券サイトによく使われている.(3)、Email、フォーラム、ブログ、SNSサイトを通じてウェブサイトの釣りリンクを大量に発表する.(4)、微博、Twitterの短いリンクを通じて釣りサイトのリンクを散布する.(5)、偽造メール、例えば「銀行パスワードリセットメール」と偽って、ユーザーを釣りサイトに騙す.(6)、ウイルスに感染した後、QQ、アリ旺往などのチャットツールのウィンドウを模倣し、ユーザーがクリックして釣りサイトに入る.(7)、悪意のあるナビゲーションネットワーク、悪意のあるダウンロードサイトはシミュレーションの懸濁ウィンドウをポップアップし、クリックして釣りサイトに入る.(8)、gogle.com、sinz.comなどは、ユーザーが書き間違えると、釣りサイトに誤って入る.5、どうやって止めるの?ある前の国内は3種類(1)、meta元のラベルを使う
(2)、JavaScriptスクリプトの使用
この方法は多く使われていますが、親フレームワークにスクリプトを入れる方法もあります.
または
フロント検証は、迂回や他の方法に取って代わられ、機能しないことが多い.(3)、HTTP応答ヘッダを使用する
HTTP応答ヘッダはX-Frame-Optionsであり,この属性はjsを用いてvar locationによって解読されると判断される問題を解決できる.
<html>
<head>
<meta http-equiv = 'windows - Target' contect = 'top'>
head>
<body>body>
html>(2)、JavaScriptスクリプトの使用
function locationTop() {
if (top.location != self.location) {
top.location = self.location;
return false;
}
return true;
}
locationTop();この方法は多く使われていますが、親フレームワークにスクリプトを入れる方法もあります.
var location = ducument.locationまたは
var location = ' 'フロント検証は、迂回や他の方法に取って代わられ、機能しないことが多い.(3)、HTTP応答ヘッダを使用する
HTTP応答ヘッダはX-Frame-Optionsであり,この属性はjsを用いてvar locationによって解読されると判断される問題を解決できる.