人们发现世界上许多著名站点都包含CSRF攻击漏洞,连ING都不例外,最严重的情况可以导致攻击者将受害人的账户搬空.CSRF是伪造客户端请求的一种攻击,CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求.
上面的文字可能没有仔细的说明CSRF的攻击方法,举个例子,比如你先登录了信用卡网站,网站一般都会记录下你的认证信息,比如通过cookie或者其他的方法;而后你又通过某种方式访问了看起来是YouTube网站的网址,而这个网址是被黑客处理过的,它虽然是YouTube的网址,给你的感觉也是正常的YouTube,甚至可能会有一段正常的视频,但是这个网页里面(比如通过flash、或者是视频、或者是脚本等等)可能会向黑客的邮箱发送带有你信用卡网站认证信息的邮件;这样黑客就获得了你的认证信息,而可以接管你的帐户。
CSRF是一种让人难以防范的漏洞,据歪歪了解,目前没有很好的监测CSRF的方法。歪歪想到的一些比较可行的防范方法:
不使用网银。所谓的无招胜有招,我既然不用网银,黑客也就自然巧媳妇难为无米之炊了。(just a joke:))
定期修改密码。定期修改密码永远是安全学中最提倡的一个方法。
访问敏感网站(比如信用卡、网银等)后,主动清理历史记录、cookie记录、表单记录、密码记录,并重启浏览器才访问其他网站。
保持浏览器更新补丁,尤其是安全补丁。同时也要留意操作系统、杀毒、防火墙等软件的更新。
不要上来历不明的网站,推荐使用ms ie7的站点认证功能或者google toolbar之类辨识非法的网站。
使用某些带有“隐私浏览”功能的浏览器,比如Safari。“隐私浏览”功能可以让用户在上网冲浪时不会留下任何痕迹, 浏览器不会存储cookie和其它任何资料。从而CSRF也拿不到有用的信息。
ie8把它叫做“InPrivate浏览”。Chrome称作“Incognito模式”。
如果浏览器提示“链接和证书域名不匹配”的警告信息时,请不要继续浏览,立即关闭浏览器或者返回上一页(如果您是网页开发者或者黑客,当我没有说)。
管理好浏览器的cookie。比如在IE6.0中,打开“工具->Internet选项->隐私”对话框,这里设定了“阻止所有Cookie”、“高”、“中高”、“中”、“低”、“接受所有Cookie”六个级别,你只要拖动滑块就可以方便地进行设定,而点击下方的“编辑”按钮,在“网站地址”中输入特定的网址,就可以将其设定为允许或拒绝它们使用Cookie。
禁用或限制使用Java程序及ActiveX控件(可能会导致某些正常站点访问出错)。
定期清除历史记录,方法是在浏览器的选项中找到类似“清除表单”和“清除密码”的按钮,并定期点击,歪歪推荐一周一次。
其实这些招数说穿了一点也不神秘,主要就是提高自己的安全意识,把敏感信息藏起来不让黑客接触到。
