帮你支招:如何避免CSRF攻击

goodluck

我们昨天报道过普林斯顿大学的研究人员们表示,他们发现世界上许多著名站点都包含CSRF攻击漏洞,连ING都不例外,最严重的情况可以导致攻击者将受害人的账户搬空.CSRF是伪造客户端请求的一种攻击,CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求.<br /><br /><p> </p><blockquote>上面的文字可能没有仔细的说明CSRF的攻击方法，歪歪举个例子，比如你先登录了信用卡网站，网站一般都会记录下你的认证信息，比如通过cookie或者其他的方法；而后你又通过某种方式访问了看起来是YouTube网站的网址，而这个网址是被黑客处理过的，它虽然是YouTube的网址，给你的感觉也是正常的YouTube，甚至可能会有一段正常的视频，但是这个网页里面（比如通过flash、或者是视频、或者是脚本等等）可能会向黑客的邮箱发送带有你信用卡网站认证信息的邮件；这样黑客就获得了你的认证信息，而可以接管你的帐户。<br /></blockquote>CSRF是一种让人难以防范的漏洞，据歪歪了解，目前没有很好的监测CSRF的方法。歪歪想到的一些比较可行的防范方法：<br /><ol><li>不使用网银。所谓的无招胜有招，我既然不用网银，黑客也就自然巧媳妇难为无米之炊了。（just a joke:)） </li><li>定期修改密码。定期修改密码永远是安全学中最提倡的一个方法。 </li><li>访问敏感网站（比如信用卡、网银等）后，主动清理历史记录、cookie记录、表单记录、密码记录，并重启浏览器才访问其他网站。 </li><li>保持浏览器更新补丁，尤其是安全补丁。同时也要留意操作系统、杀毒、防火墙等软件的更新。 </li><li>不要上来历不明的网站，推荐使用ms ie7的站点认证功能或者google toolbar之类辨识非法的网站。 </li><li>使用某些带有“隐私浏览”功能的浏览器，比如Safari。“隐私浏览”功能可以让用户在上网冲浪时不会留下任何痕迹, 浏览器不会存储cookie和其它任何资料。从而CSRF也拿不到有用的信息。<br />                ie8把它叫做“InPrivate浏览”。Chrome称作“Incognito模式”。 </li><li>如果浏览器提示“链接和证书域名不匹配”的警告信息时，请不要继续浏览，立即关闭浏览器或者返回上一页（如果您是网页开发者或者黑客，当我没有说）。 </li><li>管理好浏览器的cookie。比如在IE6.0中，打开“工具->Internet选项->隐私”对话框，这里设定了“阻止所有Cookie”、“高”、“中高”、“中”、“低”、“接受所有Cookie”六个级别，你只要拖动滑块就可以方便地进行设定，而点击下方的“编辑”按钮，在“网站地址”中输入特定的网址，就可以将其设定为允许或拒绝它们使用Cookie。 </li><li>禁用或限制使用Java程序及ActiveX控件（可能会导致某些正常站点访问出错）。 </li><li>定期清除历史记录，方法是在浏览器的选项中找到类似“清除表单”和“清除密码”的按钮，并定期点击，歪歪推荐一周一次。 </li></ol><br />其实这些招数说穿了一点也不神秘，主要就是提高自己的安全意识，把敏感信息藏起来不让黑客接触到。<br />