7

防止您的网站被钓鱼的最佳方法是什么?如果可能,请引用一些技术建议和参考资料。

谢谢!

4

8 回答 8

8

网站不是钓鱼网站——用户是。您最多可以做的是获得一个 SSL 证书,然后在您的登录屏幕上,对金色挂锁和域名(感谢 codeka)等进行大量处理。

于 2010-05-17T01:47:05.003 回答
2

不确定这是否是您的意思,但有时网站可以使用CSRFXSS攻击“劫持”。

当您允许用户输入任意文本并且不确保他们没有输入任意 HTML 代码时,XSS 尤其会发生。

如果您不能确保某人在其浏览器中点击的链接源自您的网站(他们可以在您的网站上进行身份验证,获取表明他们已通过身份验证的 cookie,打开一个新选项卡,并被诱骗点击另一个选项卡中指向您的网站并导致在那里发生某些操作的另一个网站)。

这些链接讨论了缓解策略。

于 2010-05-17T01:57:04.647 回答
1

您可以通过手机短信或电子邮件使用一次性密码(OTP)来防止网络钓鱼攻击。而不是要求 OTP 进行所有登录,只要有新 IP,您就可以这样做一次。这对用户来说可以不那么烦人。

于 2017-01-14T13:58:15.543 回答
0

我认为网络钓鱼可以从网站到用户有很大的不同。我可以建立一个新的 gmail 网站,使用不同的域名,如 gmai1.com(数字 1 而不是 l)并将其发送给每个人以登录我的电子邮件。你怎么能防止它?用户通常必须小心。这里真的很难有灵丹妙药

于 2010-05-17T01:47:42.883 回答
0

谈论使用安全浏览器(不是 IE)以及涉及简单检查的站点验证问题(Firefox 中绿色的 URI 旁边的绿色域名“证书”表示经过验证的站点)。编辑:因此,这种特殊方法可以击败使用类似印刷字符(西里尔文等)的假网站

于 2010-05-17T01:52:14.343 回答
0

BOFA 网站做了一些我非常喜欢的有趣的事情,我相信它会有所帮助。他们让您在注册帐户时从集合中选择一个图像图标,并且每次登录时都会显示此图像......如果图像不同或没有向用户显示他们正在...... ..

于 2010-05-17T01:58:01.267 回答
0

我不喜欢这个价格标签,我也不完全相信它的用处,但EV SSL被吹捧为一种预防措施。

此外,正如 m0s 所指出的,在身份验证过程期间或之后的某个时间点显示用户选择的信息(例如图片)是某些网站(例如银行)正在采取的步骤。

反网络钓鱼工作组有一个针对 Web 开发人员的解决方案列表。

这些事情都不是万无一失的解决方案,因为真正的关键是用户教育和谨慎,但它们肯定不会受到伤害。

于 2010-05-17T02:14:26.310 回答
0

结果显示的可能不是网络钓鱼,但我注意到网络钓鱼站点的一件事是有许多 32 个字符长的文件夹,而且这些文件夹很多。在每个文件夹中,您可能会发现网络钓鱼内容。使用以下命令查找具有 32 个字符长名称的文件夹并手动扫描以检查它是否是网络钓鱼。

#find /home*/*/public_html/* -type d -name "????????????????????????????????" > phishing.txt

您可以自由使用其他技术,如果您愿意,可以分享。

于 2014-09-28T10:25:25.123 回答