问题标签 [phishing]

对于网站 UI 欺骗的威胁，您建议的解决方案是什么？

我在 SSL 下有一个带有 iframe 的页面，它通过 HTTP 刷新 prgama 每 20 秒刷新一次。如果我在启用 IE7 并启用网络钓鱼过滤器的情况下浏览该站点，我会以不规则的时间间隔收到安全-非安全内容警告，如果网络钓鱼过滤器被禁用，这些警告就会停止。即使启用了网络钓鱼过滤器，是否有人知道我可以做些什么来消除警告？

我是墨菲定律的狂热爱好者，我在编程时就想到了它。在各个领域都有很多“应用”版本。也许（作为堆栈溢出用户）我们可以编译一个应用于 Internet Security的列表。我建议这样做是因为在网络钓鱼、XSS、CSRF 以及围绕程序员和用户的更多对待时，最好列出预期的内容，以便跟踪您的应用程序中可能存在的漏洞和系统。

一个例子是：“漏洞自发出现，但不会以同样的方式消失”。

请展示你对它的想法。提前致谢。

我创建了一个小型 Web 应用程序来发送电子邮件。

当我发送电子邮件时，Hotmail 认为它是欺骗网络钓鱼

我该如何解决这个问题？

谢谢

我最近一直在使用 OAuth 做一些工作，我不得不说我真的很喜欢它。我喜欢这个概念，我喜欢它如何为您的用户提供一个低门槛，以便将外部数据连接到您的站点（或为您提供数据 api 以供外部使用）。就个人而言，我一直对要求我直接向他们提供另一个网站的登录信息的网站犹豫不决。OAuth“网络代客密钥”方法很好地解决了这个问题。

不过，我（和许多其他人）看到的最大问题是标准 OAuth 工作流程鼓励使用网络钓鱼攻击对其有利的相同类型的行为。如果您训练您的用户将重定向到站点以提供登录凭据是正常行为，那么网络钓鱼站点很容易利用该正常行为，而是重定向到他们捕获您的用户名和密码的克隆站点。

如果有的话，你做了什么（或看到做了什么）来缓解这个问题？

• 您是否告诉用户手动登录提供站点，而不使用自动链接或重定向？（但这增加了进入的门槛）

• 您是否尝试教育您的用户，如果是，何时以及如何教育？用户必须阅读的任何冗长的安全解释也会增加进入的门槛。

还有什么？

我正在构建一个用户内容解析器并添加一个自动链接解析器。我正在添加一个对话框，确认用户想要访问所链接的特定站点。这有两个原因。反网络钓鱼和垃圾邮件打击。但是，我希望能够禁用常用网站的对话和 nofollow 添加，所以我正在建立一个白名单。是否有任何常见的白名单或者我应该从头开始构建一个？

防止您的网站被钓鱼的最佳方法是什么？如果可能，请引用一些技术建议和参考资料。

谢谢！

我正在寻找一个完整的银行域名列表，以包含在我计划的反网络钓鱼例程中，有人有列表/URL吗？

我的一些非 IT 同事在一封看起来非常可疑的电子邮件中打开了一个 .html 附件。当似乎运行了一些 javascript 代码时，它会导致一个空白屏幕。

它做了什么？这超出了我的编程知识范围。

我刚刚发现垃圾邮件发送者正在从我们的域名发送电子邮件，假装是我们，说：

尊敬的顾客，

这封电子邮件是由 ourwebsite.com 发送的，目的是通知您我们暂时禁止访问您的帐户。

我们有理由相信您的帐户可能已被其他人访问。请运行附件并按照说明进行操作。

（C）ourwebsite.com（我改变了）

附件是一个 HTML 文件，包含以下 javascript：

另一封电子邮件是这样的：

谁能告诉我它的作用？所以我们可以看看我们是否有漏洞，以及是否需要告诉我们的客户......

谢谢