XSS 跨站脚本攻击是最近被广大捣乱分子喜闻乐见的一种攻击方式,前不久 twitter 甚至都遭其毒手,今天的 Chromium Labs 新项目正是针对这种攻击方式而来。
Chromium 的 XSS Auditor 源自 WebKit 内核,用户在访问有此类潜在问题的网站时会受到浏览器的提醒,不过这一功能目前和某些网站还存在不兼容现象。
Chromium 用户可以通过在地址栏输入 about:labs 进入疯狂实验室试用这个功能。
怎么看出钓鱼网站啊
网络钓鱼伎俩不外乎下面几种: URL欺骗最普遍 刘慧宇老师说,URL欺骗是网络钓鱼最普遍的一种形式,即通过一定的技术手段构建虚假的URL地址,给用户造成错觉以为是在正确的网站上。 目前常见的构建虚假URL的方式有三种。 1、显示文字和链接地址不同 例子:网络 以上代码的作用是使得用户在网页或邮件中看到显示的是“网络”,实际上是链接到Google的网站上。 识别这类欺骗还是比较简单的,只要将鼠标移动到链接上,就可以在状态栏中看到实际的链接地址。 2、把两个URL和一个表格插入到HTML的href标记中 例子:Google 这类欺骗很难识别,你在网页中看到的网址是Google,即使你把鼠标移动到链接上,在状态栏上看起来依然链接到www.google.com的网站上,可是一旦你单击该链接你才发现,你链接到的是网络的站点。 用户在上网过程中要时常注意地址栏上的URL变化,一旦发现地址栏上的域名发生变化就要提高警惕,只有这样才能有效避免被钓。 3、利用IE的语法错误 例子:网络 在许多没有打过补丁的计算机中,如果把URL地址写成“http://www.baidu.com@www.redhat.com/”或者“http://www.baidu.com@/”,通过链接栏和地址栏都将看到你链接的是http://www.baidu.com,可实际上显示的页面内容是http://www.redhat.com,很难想像用户遇到这样的链接会不上当。 目前用户能做的就是尽快地给升级系统或打上补丁。 利用跨站脚本漏洞窃取信息 所谓的跨站脚本就是攻击者利用合法网站服务器程序上的漏洞,在站点的某些网页中插入危险的HTML代码,窃取用户信息。 克隆网站成骗钱捷径 由于制作一个网站的成本很低,造假者使用假身份证花几百元很容易申请到一个域名,并租到服务器空间。 1、URL地址克隆 使用和真实网址非常相似的域名,如:中国农业银行的互联网地址是“www..cn”、“easyabc..cn”、“www.abc.com”、“www.e.com”。 近日出现的www..cn(该网站已被查封)和www..cn只有一字之差,然而却是天壤之别。 2、页面形式内容克隆 在假冒网站上使用正规网站的LOGO、图表、新闻内容和链接,惟一区别之处是输入的账号的位置,一旦用户登陆网站,很难通过一般的常识来区别哪个是正规的网站,哪个是假冒网站。 做好预防避免上当 其实最好的自我保护方式不需要多少技术,可从链接来源和使用场合等方面来预防。 1、链接来源 1) 对于银行发来的手机短信,应认真核实短信的来源,如涉及到账号问题要和银行进行电话确认。 2) 对要求重新输入账号信息,否则将停掉信用卡账号之类的邮件不予理睬。 3) 不要回复或者点击邮件的链接,如果你想核实电子邮件的信息,可以使用电话联系。 4) 若想访问某个公司的网站,使用浏览器直接访问,输入网址前,有必要确认网址的来源。 点击邮件中的链接、短信即时通信工具如QQ、MSN都是不可取的。 5)如果一个网址中含有“@”符号,应该意识到,一般网址是完全没有必要使用“@”符号的,因此不要使用这个网址。 2、网上银行安全使用技巧 一个简便的方法可帮你安全地使用网上银行,现以中国工商银行的网站为例进行介绍。 进入网上银行后,在看到输入框时,不要急于输入信息,此时要检查IE是否启用加密链接(看看是不是有小锁的图标),并检查证书是否有效(双击小锁图标,打开“证书”界面,查看其有效期),最好还要检查证书是否与地址栏的地址相匹配(在“证书”界面中选择“证书路径”,并查看“证书路径”最后一项是不是与地址栏中的地址一致)。 如果其中一项不符合,那么就要小心了。
上网防网页病毒的技巧有哪些?
电脑中了网页病毒,很正常.常在河边走,哪有不湿鞋嘛,但是如果你上网的同时做好一些措施,这样就能尽量减少中病毒的机率,减却一些不必要的麻烦. 一、提高安全级别由于网页病毒很多都是通过包含恶意脚本来实现攻击的,因此我们首先可以采取提高ie安全级别的方法来防范。 将前面打开的internet窗口切换到“安全”选项卡,然后单击“自定义级别”按钮打开“安全设置”窗口,将“activex控件和插件”、“脚本”下的所有选项,都尽可能的设为“禁用”,同时将“重置自定义设置”设为“安全级-高”即可。 二、屏蔽指定网页 对于一些包含恶意代码的网页,在知道其地址的情况下,我们可以将其屏蔽掉。 启动ie浏览器后,打开“工具”菜单下的“internet选项”命令,将打开的窗口切换到“内容”选项卡,在“分级审查”中单击“启用”按钮,将打开的“内容审查程序”窗口切换到“许可站点”选项卡,然后在“允许该站点”中输入其地址并单击“从不”按钮将其添加到拒绝列表中即可。 三、确保wsh安全 很多网页会利用vbscript编制病毒,它们利用windows自带的windows scripting host激活运行。 对此,我们可以采取卸载系统自带的wsh或将其升级来防范这类病毒的横行。 如果是widows 9x系统,那么只要打开“添加/删除程序”项,然后通过修改windows组件,把“附件”项中的“windows scripting host”取消即可;如果是windows 2000/xp操作更加简单,只需要打开文件夹选项窗口,然后在“文件类型”选项卡,找到“vbs vbscript script file”选项并将其删除即可。
网站挂马
楼上两位说的方向都是从“操作系统漏洞”出发,其实作为Web服务器,大多数是通过网站程序自身代码漏洞,比如无组件上传漏洞,网站后台备份功能。 针对系统漏洞入手,相对于针对一台服务器上很多网站程序试探要耗时耗精力效果还不好。 网站挂马,通常就是黑客利用网站程序或者是语言脚本解释的漏洞上传一些可以直接对站点文件进行修改的脚本木马,然后通过web形式去访问那个脚本木马来实现对当前的网站文件进行修改,比如加入一段广告代码,通常是iframe或者script。 想知道网站是否被挂马,有一个比较简单的方法,直接检查每个脚本文件最下方是否被加入了iframe或者script的代码,然后这段代码是否是程序员设计的时候添加的,程序员一看就能够知道。 防范的方式也简单: 1、程序代码漏洞,这需要有安全意识的程序员才能修复得了,通常是在出现被挂马以后才知道要针对哪方面入手修复; 2、服务器目录权限的“读”、“写”、“执行”,“是否允许脚本”,等等,使用经营已久的虚拟空间提供商的空间,可以有效降低被挂马的几率。
发表评论