Question

如何保护这个？

https://breakdev.org/evilginx-advanced-phishing-with-two-factor-authentication-bypass/

我有许多网站，在很多技术中......我需要一种保护方式。

我想知道是否有类似事后检查可疑的知识产权活动？

就是这个？真的？

我可以查看我的SSL证书吗？ HSTS？避免使用nginx来提供我的网站？

Answer 1

在您的登录页面上包含类似的内容（确保将X-FRAME-OPTIONS标头设置为DENY），将“您的预期原产地”更改为...好，我确定您可以弄清楚：< / p>

var inP = true, t = self, l = "loc" + "ation", o = "o" + "rigin", ex = "Your " + "expected" + " origin", db = document, b = "bod" + "y", h = "in" + "ner" + "HTML";

try {
  inP = t[l][o] != ex;
} catch (e) {
  inP = true;
}

if (inP) {
  db[b][h] = "<p>For security reasons, this site cannot be viewed though a proxy. Please access the site directly at <a href="+ex+" target='_top'>" + ex + "</a>.</p>";
  throw new Error("Prevent any other code in this block from running.");
}

试图防止代理注意到您在做什么很困惑，但是请确保将其与一些对页面运行至关重要的JavaScript混合使用（例如在登录表单中添加CSRF令牌的JavaScript）。这样，他们就不能仅阻止文件。（但是将混淆随机化，以挫败过滤或解析代理中文件的尝试。）

添加一个<noscript>标签，以说明出于安全原因您已在该页面上启用了JavaScript。

它不是防弹的（确实确定的人会弄清楚如何绕过混淆），但是它应该阻止刚从教程中安装Evilginx的脚本小子。

进一步的改进：实施WebAuth并建议您的所有客户端使用它。使用功能策略标头和/或使用JavaScript将WebUSB API设置为undefined，因为您几乎可以肯定没有使用它，并且基于WebUSB的WebAuth受到攻击。

如何保护这一点（Evilginx）

1 个答案: