防止您的网站遭到网络钓鱼的最佳方法是什么?如果可能,请引用一些技术建议和参考资料。
谢谢!
答案 0 :(得分:8)
网站不是网络钓鱼 - 用户是。您可以做的最多就是获得SSL证书,并在登录屏幕上大量处理金色挂锁和域名(感谢codeka)等。
答案 1 :(得分:2)
不确定这是不是您的意思,但有时网站可能会被CSRF或XSS攻击“劫持”。
当您允许用户输入任意文本并且不确保他们没有输入任意HTML代码时,尤其会发生XSS。
如果您不确保某人在其浏览器中点击源自您网站的链接,则可能会发生CSRF(他们可以在您的网站上进行身份验证,获取Cookie,表明他们已经过身份验证,打开新标签页,然后被欺骗点击另一个标签中指向您网站的其他网站上的链接,会导致某些操作发生在那里。)
这些链接讨论了缓解策略。
答案 2 :(得分:1)
您可以通过移动短信或电子邮件使用一次性密码(OTP)来防止网上诱骗攻击。而不是要求OTP进行所有登录,只要有新IP,就可以执行一次。这对用户来说可能不那么烦人。
答案 3 :(得分:0)
我认为从网站到用户的网络钓鱼可能会有很大差异。我可以建立一个新的gmail网站,使用不同的域名,如gmai1.com(数字1不是l),并将其发送给每个人登录我的电子邮件。你怎么能阻止它?用户通常要小心。这里真的很难有一颗银弹
答案 4 :(得分:0)
讨论使用安全浏览器(不是IE)以及涉及简单检查的站点验证问题(Firefox中URI旁边的绿色域名“证书”,绿色表示已验证的站点)。 编辑:这种特殊的方法因此击败了使用类似印刷字符(西里尔字母等)的虚假网站
答案 5 :(得分:0)
BOFA网站做了一件我非常喜欢的有趣事情,我相信它会有所帮助。当您注册帐户时,它们会让您从设置中选择一个图像图标,每次登录时都会显示此图像...如果图像不相同或不存在,则表示用户正在显示该图像。 ..
答案 6 :(得分:0)
我不喜欢这个价格,我并不完全相信其有用性,但EV SSL被吹捧为一种预防措施。
此外,正如m0s指出的那样,在认证过程中或之后的某个时刻显示用户选择的信息,例如图片,这是某些网站(如银行)正在采取的步骤。
反网络钓鱼工作组有list of solutions针对网络开发人员。
这些都不是一个万无一失的解决方案,因为真正的关键是用户教育和谨慎,但他们肯定不会受到伤害。
答案 7 :(得分:0)
显示的结果可能不是网络钓鱼,但我注意到网络钓鱼网站的一件事是有很多32个字符长的文件夹,这些文件夹很多。在每个文件夹中,您可能会发现网络钓鱼内容。使用以下命令查找具有32个字符长名称的文件夹,并手动扫描以检查它是否是网络钓鱼。
#find /home*/*/public_html/* -type d -name "????????????????????????????????" > phishing.txt
您可以自由使用其他技术,如果愿意,可以分享。