最近看了一個關於利用 reverse proxy 製作釣魚網站的文章
下面是我自己的重點整理
1. 看完後的結論就是只要使用 reverse proxy,就不可能完全杜絕別人製作釣魚網站。唯一能做的是提高防護機制,增加模仿的複雜度,讓別人因為成本過高而不想做這件事
2. 在系列文章的 Day 28 有整理出開發者的防範方法
2.1 程式在前端檢查網址,錯誤跳訊息通知
2.2 讓 cookie 只有在 Https 的情況下才能存取
方法: cookie 用 __Host- 或是 __Secure- 開頭,就一定要有 secure 這個屬性,而有這個屬性的cookie 只有在 https 才能被存取。詳細可看系列文章的此篇
缺點: 在 local 開發須使用 https,增加開發成本。local 安裝 https 可看這個
2.3 後端檢查 http header, body
2.4 後端檢查來源 IP,若有大量 request 來自相同的 IP,這 IP 可能就有問題
3. 在系列文章的 Day 29 則是說使用者如何小心不要去到釣魚網站
3.1 注意網站是否有用 https,合法的網站大部分都會使用
3.2 時常更新瀏覽器,因新版瀏覽器可能會修掉一些釣魚網站使用的漏洞
3.3 不使用來路不明的 DNS Server,因這些 server 可能會把你導去釣魚網站
3.4 確認電腦的 Hosts file 是否有被惡意竄改,因這東西有轉導網址最高的優先權
沒有留言:
張貼留言