经典Web安全缺陷(框架钓鱼风险)
1、概述:Web安全应用程序的安全始终是一个重要的议题,因为网站是恶意工作者的第一目标。黑客利用网络传播其恶意软件、蠕虫、垃圾及其他等等。QWASP(是一个符合501(c)全球不以营利为目的的慈善组织专注于提高软件的安全性)概括了Web应用程序中最为危险的安全漏洞,但是在不断积极的发现可能出现的新的弱点以及新的Web攻击手段。黑客总是不断的在寻找新的方法欺骗用户,因此从渗透的角度看,我们需要看到每一个可能被利用来入侵的漏洞和弱点。
2、常见的钓鱼方式有:
(1)、黑客通过钓鱼网站设下陷阱,大量收集用户个人隐私信息,贩卖个人信息或敲诈用户;
(2)、黑客通过钓鱼网站收集、记录用户网上银行账号、密码,盗窃用户的网银资金;
(3)、黑客假冒网上购物、在线支付网站、欺骗用户直接将钱打入黑客账户;
(4)、通过假冒产品和广告宣传获取用户信任,骗取用户钱财;
(5)、恶意团购网站或购物网站,假借“限时抢购”、“秒杀”、“团购”等,让用户不假思索地提供个人信息和银行账号,这些黑心网站主可直接获取用户的个人资料和网银账号密码信息,进而获利。
3、钓鱼网类型
(1)、主动用于钓鱼网站,就是高访网站、专门用于钓鱼。如:中国工商银行的官网是:www.iabc.com,钓鱼网站可能仅仅修改部分,例如:www.labc.com,钓鱼网站表面上看,内容和官网完全一样,甚至会弹出来的公告都和你平常见的页面一样。这样当你在钓鱼网站用你的银行账号与密码登录后,你的银行账号与密码就存储到钓鱼网站的数据库中,然后你的银行账号就不安全了。
(2)、另一网站本身不是专门的钓鱼网站,但由于被其他网站利用,成了钓鱼网站。一个网站如果能被框架,就有被别人网站钓鱼的风险。
4、钓鱼网站传播路径
(1)、通过QQ、MSN、阿里旺旺等客户端聊天工具发送传播钓鱼网站链接;
(2)、在搜索引擎、中小网站投放广告,吸引用户单击钓鱼网站链接,此种手段被假医药网站、假机票网站常用;
(3)、通过Email、论坛、博客、SNS网站批量发布网站钓鱼链接;
(4)、通过微博、Twitter中的短链接散布钓鱼网站链接;
(5)、通过仿冒邮件、例如冒充“银行密码重置邮件”,来欺骗用户进入钓鱼网站;
(6)、感染病毒后弹出模仿QQ、阿里旺往等聊天工具窗口,用户单击后进入钓鱼网站;
(7)、恶意导航网络、恶意下载网站弹出仿真悬浮窗口,单击后进入钓鱼网站;
(8)、伪装成用户输入网址时易发生的错误,如gogle.com、sinz.com等,一旦用户写错,就误入钓鱼网站。
5、怎样阻止呢?
某前国内有三种
(1)、使用meta元标签
<html><head><meta http-equiv = 'windows - Target' contect = 'top'></head><body></body>
</html>
(2)、使用JavaScript脚本
function locationTop() {if (top.location != self.location) {top.location = self.location;return false;}return true;
}
locationTop();
这个方法用的比较多,但高手也有破解的办法,就是在父框架中加入脚本
var location = ducument.location
或者
var location = ' '
前台验证往往会被绕行或其他方法取代而不起作用。
(3)、使用HTTP响应头
HTTP响应头是X-Frame-Options,这个属性可以解决使用js判断会被var location破解的问题。
经典Web安全缺陷(框架钓鱼风险)相关推荐
- asp.net web submit链接页面_41. Web 安全之 target=quot;_blankquot; 触发钓鱼风险
在网页中使用链接时,如果想要在新的标签页打开指定的地址,通常的做法就是在 标签上添加 target="_blank" 属性,然而,就是这个属性,为钓鱼攻击者带来了可乘之机. 本文来 ...
- java跨站点脚本编制_跨站点请求伪造 跨站点脚本编制 通过框架钓鱼漏洞 | 学步园...
1.跨站点请求伪造 跨站点脚本编制 通过框架钓鱼漏洞 主要是通过在url或参数中添加脚本如: 1.URL中添加 2.参数value=. 添加一个过滤器对特殊字符进行拦截 package com.xxx ...
- 《ASP.NET Web API 2框架揭秘》
<ASP.NET Web API 2框架揭秘> 基本信息 作者: 蒋金楠 出版社:电子工业出版社 ISBN:9787121235368 上架时间:2014-7-5 出版日期:2014 年7 ...
- ASP NET Web API 2框架揭秘
ASP.NET Web API2框架揭秘(.NET领域再现力作顶级专家精讲微软全新轻量级通信平台) 蒋金楠 著 ISBN 978-7-121-23536-8 2014年7月出版 定价:108.00 ...
- python web-2019年Python Web五大主流框架
我们都知道风靡一时的Python语言作为人工智能战场上主要使用的枪外,还被广泛应用在Web开发.游戏开发.人工智能.云计算开发.大数据开发.数据分析.科学运算.爬虫.自动化运维.自动化测试等领域,其实 ...
- 10个优秀的 Web UI库/框架 详细出处参考:http://www.jb51.net/web/22251.html
点评:UI(User Interface)即用户界面,也称人机界面.是指用户和某些系统进行交互方法的集合,实现信息的内部形式与人类可以接受形式之间的转换.本文为WUI用户整理了10个优秀的 Web U ...
- Capybara 2.14.1 发布,Web 应用验收测试框架
apybara 2.14.1 已发布,Capybara 是一个 Web 应用验收测试框架,通过模拟真实用户交互的方式来测试你的 web 应用.它内置 Rack::Test 和 Selenium 支持, ...
- 10个优秀的 Web UI 库/框架
来源:http://www.webjx.com/web/xindejiqiao-10467.html UI(User Interface)即用户界面,也称人机界面.是指用户和某些系统进行交互方法的集合 ...
- 从头编写 asp.net core 2.0 web api 基础框架 (2)
上一篇是: 从头编写 asp.net core 2.0 web api 基础框架 (1) Github源码地址是: https://github.com/solenovex/Building-asp. ...
最新文章
- [BZOJ1925]地精部落
- double,float,BigDecimal类型数值的操作
- 安卓虚拟机_安卓虚拟机(*New*)v1.1.31去广告/去推荐/Mod/精简/VIP版
- 信息系统项目管理师论文范文-风险管理
- LazyListBoxHelper 动态分页
- 下载 sdk struts java
- 0基础自学Python,有哪些避坑经验?
- iPhone 14或让果粉再度“梦碎”:屏幕指纹和120Hz高刷屏都没了
- 集成产品开发过程及其概念模型
- ora-04098 触发器无效且未通过重新验证
- NVIDIA Control Panel 闪退(英伟达控制面板闪退)
- iTOP4412 uboot移植教程
- switch 无法启动软件,请在HOME菜单中再试一次
- 单反相机tf卡用sd卡套稳定吗_存储卡可不是插上就能用 单反相机的使用细节
- Python爬虫:爬取某易云音乐歌曲
- ERP系统具有哪些功能?
- 《构建之法》CH5~6读书笔记 PB16110698 第九周(~5.15)
- 编写jQuery插件
- 尚医通笔记-后台管理
- 最小二乘支持向量机预测matlab实现,最小二乘支持向量机及其 Pre-computed Kernel 的 matlab 实现...