跨站点请求伪造(CSRF)攻击正在成为黑客使用的更常见的攻击方法。这些攻击利用了信托网站为用户输入和浏览器提供的。受害者被欺骗表演了他们没有打算在合法网站上进行的具体行动;他们经过身份验证的地方。
CSRF攻击将使用受害者对网站上的身份和特权冒充它们并执行恶意活动或交易。攻击者将尝试利用存储在其浏览器中的登录Cookie的用户。发送cookie以存储用户身份验证数据的电子商务网站容易受到此攻击的影响。
CSRF攻击的一个例子是如果受害者要登录其银行业务网站并且在他们的会话处于活动状态时,他们会收到一封带有单击链接的请求的电子邮件。如果此受害者点击链接,则将对银行站点执行脚本以将资金从其帐户转移到攻击者指定的一个攻击者中。在这里,攻击者通过使用受害者的登录信息,计算机和IP地址进行攻击,使受害者模仿了受害者。
而不是通过电子邮件发送到一个站点,而攻击者可能有注入站点的代码,并且只希望用户单击“可执行文件”以运行的链接。然后,此代码将运行恶意事务。
有时,由于他们的登录信息和IP以前用于它,因此可能对受害者宣称别人进行了挑战。这有助于更详细和更长的调查,以至于在允许信用或逆转交易之前履行金融机构。
如何防止CSRF攻击
为防止对服务器端的CSRF攻击,银行和商家应该从执行会话跟踪的cookie转换到动态生成的会话令牌。这将使攻击者更加困难,以掌握客户的会话。
不要相信您访问的网站有措施,以防止CSRF攻击。许多网站确实有控制到位以防止它,但这不是一个很好的做法。某些网站可以在今天到位,但在升级或更改代码后,可以稍后将其删除。
对于用户来防止CSRF攻击,重要的是要理解您必须已被身份验证到某个网站才能脆弱。银行业务或任何执行金融交易的网站,并且具有高使用率是这些攻击的主要目标。
6您可以采取的操作来防止CSRF攻击
- 确保您的防病毒软件是最新的。此软件可以阻止和隔离许多恶意脚本。
- 请勿打开任何电子邮件,浏览到其他网站或执行任何其他社交网络通信,同时通过对银行网站或执行金融交易的任何网站进行认证。这将阻止任何恶意脚本在经过身份验证到财务网站时执行。
- 每当您在网站上完成银行或金融交易,总是立即注销。不仅仅是最小化或关闭浏览器。如果你这样做,它会让你容易受到攻击的影响。
- 切勿在浏览器中保存银行或金融机构网站的登录或密码。CSRF攻击中的恶意代码通常是为了利用浏览器内的此信息
- 禁用浏览器中的脚本。Firefox有一个插件,可以阻止脚本运行。
- 在一个浏览器中运行所有您的财务或银行交易以及您在另一个浏览器中的所有其他浏览。这样,攻击者无法让您的一般网络浏览器对您的银行或金融交易浏览器进行恶意。
随着互联网上的更多金融交易流程,CSRF攻击将继续增长。此外,使用社交网站的兴起将有助于提供触发这些攻击的脚本。遵循我所列的预防行动将减少您成为CSRF攻击受害者的可能性。