1、什么是Url跳轉(zhuǎn)漏洞

此漏洞讓用戶訪問惡意網(wǎng)站而不自知。因為Web應(yīng)用程序接收到用戶提交的URL參數(shù)后，沒有對參數(shù)做“可信任URL”的驗證，就向用戶瀏覽器返回跳轉(zhuǎn)到該URL的指令。

2、實例

一般來說這樣URL大部分網(wǎng)民一眼看估計是google的網(wǎng)站URL，可能都會點擊去看看。這樣就更好幫助釣魚攻擊泛濫。

3、如何防御

綜上所述基本都是危險漫步對郵件釣魚攻擊個人見解，如果有不到位的地方可以一起討論。這里危險漫步告訴大家以下幾種防范方法。

個人用戶的建議：

(1)提高警惕，不登錄不熟悉的網(wǎng)站，鍵入網(wǎng)站地址的時候要校對，以防輸入錯誤誤人狼窩，細(xì)心就可以發(fā)現(xiàn)一些破綻。

(2)不要打開陌生人的電子郵件，更不要輕信他人說教，特別是即時通訊工具上的傳來的消息，很有可能是病毒發(fā)出的。

(3)安裝殺毒軟件并及時升級病毒知識庫和操作系統(tǒng)補丁。

(4)將敏感信息輸入隱私保護(hù)，打開個人防火墻。

(5)收到不明電子郵件時不要點擊其中的任何鏈接。登錄銀行網(wǎng)站前，要留意瀏覽器地址欄，如果發(fā)現(xiàn)網(wǎng)頁地址不能修改，最小化IE窗口后仍可看到浮在桌面上的網(wǎng)頁地址等現(xiàn)象，請立即關(guān)閉IE窗口，以免賬號密碼被盜。

企業(yè)用戶的建議：

(1)安裝殺毒軟件和防火墻。

(2)加強電腦安全管理，及時更新殺毒軟件，升級操作系統(tǒng)補丁。

(3)加強員工安全意識，及時培訓(xùn)網(wǎng)絡(luò)安全知識。

(4) 一旦發(fā)現(xiàn)有害網(wǎng)絡(luò)，要及時在防火墻中屏蔽它。

(5)為避免被“冒名”，可以加大制作網(wǎng)站的難度。具體辦法包括：不使用彈出式廣告、不隱藏地址欄、不使用框架等。這種防范是必不可少的，因為一旦網(wǎng)站名稱被“網(wǎng)絡(luò)釣魚”者利用的話，企業(yè)也會被卷進(jìn)去，所以應(yīng)該在泛濫前做好準(zhǔn)備。

四、跨站技術(shù)滋生的釣魚攻擊

1、什么是跨站漏洞攻擊

業(yè)界對跨站攻擊的定義如下：“跨站攻擊是指入侵者在遠(yuǎn)程WEB頁面的HTML代碼中，插入具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁面是可信賴的，但是當(dāng)瀏覽器下載該頁面，嵌入其中的惡意腳本就會執(zhí)行。”由于HTML語言允許使用腳本進(jìn)行簡單交互，入侵者便通過技術(shù)手段在某個頁面里插入一個惡意HTML代碼，例如，論壇保存的用戶信息(Cookie)，由于Cookie保存了完整的用戶名和密碼資料，用戶就會遭受安全損失。如這句簡單的Javascript腳本就能輕易獲取用戶信息：aler(document.cookie)，它會彈出一個包含用戶信息的消息框。入侵者運用腳本就能把用戶信息發(fā)送到他們自己的記錄頁面中，稍做分析便獲取了用戶的敏感信息。

2、跨站攻擊是如何滋生釣魚攻擊的

相信大家肯定見過跨站也就是xss，有些朋友可能會不以為意，其實他危害還是相當(dāng)大的。一般來說，還經(jīng)常伴隨著頁面變形的情況。而所謂跨站腳本執(zhí)行漏洞，也就是通過別人的網(wǎng)站達(dá)到攻擊的效果，這種攻擊能在一定程度上隱藏身份。雖然XSS漏洞攻擊方法很多，但是我們今天主題是釣魚攻擊。

這是一個登陸表單，這里沒有SQL注入，現(xiàn)在我們就可以利用當(dāng)前發(fā)現(xiàn)的XSS漏洞開工了。我們需要的信息：

• 登陸表單”userslogin”
• 用戶名文本域”userslogin.user”
• 密碼文本域”useslogin.pass”

如果頁面中包含登陸表單與搜索引擎，可以通過劫持提交的數(shù)據(jù)，使其發(fā)送到我們控制的遠(yuǎn)程主機上建立的網(wǎng)頁，而非“somepage.php”。我們可以將惡意構(gòu)造的URL鏈接發(fā)送給別人，讓他們登陸，

現(xiàn)在我們已經(jīng)知道接下來該怎么做了，代碼我就不貼出來了，有需要的朋友可以找我要。

下面這段代碼可以將登陸認(rèn)證提交給在頁面主體內(nèi)容中創(chuàng)建的隱藏的iframe，并加載其它惡意PHP腳本，以獲得用戶名與密碼并保存它們。老規(guī)矩要代碼可以來找我。

這些代碼很容易理解：獲取登陸用戶名與密碼，并寫入一個文件中。給合這兩個惡意腳本，攻擊者就可以利用這“小小”(管理員經(jīng)常這樣認(rèn)為)的漏洞，獲得重要的認(rèn)證信息，使通過WEB程序驗證成為可能，當(dāng)然，這只是舉個例子!

一般情況下直接進(jìn)行類似alert(document.cookie)之類的攻擊沒有什么問題，但是有時CGI程序?qū)τ脩舻妮斎脒M(jìn)行了一些處理，這時我們就需要使用一些小技巧來繞過這些限制。如果你對HTML語言比較熟悉的話，繞過這些限制應(yīng)該不成問題。 (xss部分代碼來源于網(wǎng)絡(luò)版權(quán)歸原作者所有)

3.如何防御跨站攻擊

要避免受到跨站腳本執(zhí)行漏洞的攻擊，需要程序員和用戶兩方面共同努力：

程序員：

(1)過濾或轉(zhuǎn)換用戶提交數(shù)據(jù)中的HTML代碼。

(2)限制用戶提交數(shù)據(jù)的長度。

用戶：

(1)不要輕易訪問別人給你的鏈接。

(2)禁止瀏覽器運行JavaScript和ActiveX代碼。

附：常見瀏覽器修改設(shè)置的位置為

Intemet Explorer:

工具-Internet選項-安全-Internet-自定義級別

工具-Internet選項一安全-Intranet-自定義級別

Opera:

文件——快速參數(shù)一允許使用Java

文件——快速速參數(shù)一允許使用插件

文件——快速速參數(shù)-允許使用JavaScript

五、軟件釣魚

軟件釣魚這種釣魚方法沒有前兩種犀利，個人感覺有點雞肋(守株待兔的感覺)。就是制造好一個軟件然后發(fā)布在網(wǎng)絡(luò)上，等待別人下載觸發(fā)里面事件盜取了你的賬號。

防范方法：

文章寫到這里就要結(jié)束了，危險漫步還是要提醒一下軟件釣魚攻擊，一般只存在于想對某游戲或者某應(yīng)用程序進(jìn)行投機取巧的操作，所以危險漫步建議，盡量少用外掛和來源模糊誘惑力高的軟件，天下沒有免費的午餐。有需要輸入個人信息的(比如游戲的賬號密碼，手機號碼等)更需要慎重。