我們昨天報道過普林斯頓大學的研究人員們表示,他們發現世界上許多著名站點都包含CSRF攻擊漏洞,連ING都不例外,最嚴重的情況可以導致攻擊者將受害人的賬戶搬空.CSRF是偽造客戶端請求的一種攻擊,CSRF的英文全稱是Cross Site Request Forgery,字面上的意思是跨站點偽造請求.
上面的文字可能沒有仔細的說明CSRF的攻擊方法,歪歪舉個例子,比如你先登錄了信用卡網站,網站一般都會記錄下你的認證信息,比如通過cookie或者其他的方法;而後你又通過某種方式訪問了看起來是YouTube網站的網址,而這個網址是被黑客處理過的,它雖然是YouTube的網址,給你的感覺也是正常的YouTube,甚至可能會有一段正常的視頻,但是這個網頁裡面(比如通過flash、或者是視頻、或者是腳本等等)可能會向黑客的郵箱發送帶有你信用卡網站認證信息的郵件;這樣黑客就獲得了你的認證信息,而可以接管你的帳戶。
CSRF是一種讓人難以防范的漏洞,據歪歪了解,目前沒有很好的監測CSRF的方法。歪歪想到的一些比較可行的防范方法:
不使用網銀。所謂的無招勝有招,我既然不用網銀,黑客也就自然巧媳婦難為無米之炊了。(just a joke:))
定期修改密碼。定期修改密碼永遠是安全學中最提倡的一個方法。
訪問敏感網站(比如信用卡、網銀等)後,主動清理歷史記錄、cookie記錄、表單記錄、密碼記錄,並重啟浏覽器才訪問其他網站。
保持浏覽器更新補丁,尤其是安全補丁。同時也要留意操作系統、殺毒、防火牆等軟件的更新。
不要上來歷不明的網站,推薦使用ms ie7的站點認證功能或者google toolbar之類辨識非法的網站。
使用某些帶有“隱私浏覽”功能的浏覽器,比如Safari。“隱私浏覽”功能可以讓用戶在上網沖浪時不會留下任何痕跡, 浏覽器不會存儲cookie和其它任何資料。從而CSRF也拿不到有用的信息。
ie8把它叫做“InPrivate浏覽”。Chrome稱作“Incognito模式”。
如果浏覽器提示“鏈接和證書域名不匹配”的警告信息時,請不要繼續浏覽,立即關閉浏覽器或者返回上一頁(如果您是網頁開發者或者黑客,當我沒有說)。
管理好浏覽器的cookie。比如在IE6.0中,打開“工具->Internet選項->隱私”對話框,這裡設定了“阻止所有Cookie”、“高”、“中高”、“中”、“低”、“接受所有Cookie”六個級別,你只要拖動滑塊就可以方便地進行設定,而點擊下方的“編輯”按鈕,在“網站地址”中輸入特定的網址,就可以將其設定為允許或拒絕它們使用Cookie。
禁用或限制使用Java程序及ActiveX控件(可能會導致某些正常站點訪問出錯)。
定期清除歷史記錄,方法是在浏覽器的選項中找到類似“清除表單”和“清除密碼”的按鈕,並定期點擊,歪歪推薦一周一次。
其實這些招數說穿了一點也不神秘,主要就是提高自己的安全意識,把敏感信息藏起來不讓黑客接觸到。
