紫菀论坛 - Powered by Discuz! Board

标题: [技巧] 帮你支招:如何避免CSRF攻击 [打印本页]

作者: mimisky 时间: 2008-10-4 10:25 标题: 帮你支招:如何避免CSRF攻击

CSRF是一种让人难以防范的漏洞，据歪歪了解，目前没有很好的监测CSRF的方法。歪歪想到的一些比较可行的防范方法：

不使用网银。所谓的无招胜有招，我既然不用网银，黑客也就自然巧媳妇难为无米之炊了。（just a joke:)）
定期修改密码。定期修改密码永远是安全学中最提倡的一个方法。
访问敏感网站（比如信用卡、网银等）后，主动清理历史记录、cookie记录、表单记录、密码记录，并重启浏览器才访问其他网站。
保持浏览器更新补丁，尤其是安全补丁。同时也要留意操作系统、杀毒、防火墙等软件的更新。
不要上来历不明的网站，推荐使用ms ie7的站点认证功能或者google toolbar之类辨识非法的网站。
使用某些带有“隐私浏览”功能的浏览器，比如Safari。“隐私浏览”功能可以让用户在上网冲浪时不会留下任何痕迹, 浏览器不会存储cookie和其它任何资料。从而CSRF也拿不到有用的信息。
ie8把它叫做“InPrivate浏览”。Chrome称作“Incognito模式”。
如果浏览器提示“链接和证书域名不匹配”的警告信息时，请不要继续浏览，立即关闭浏览器或者返回上一页（如果您是网页开发者或者黑客，当我没有说）。
管理好浏览器的cookie。比如在IE6.0中，打开“工具->Internet选项->隐私”对话框，这里设定了“阻止所有Cookie”、“高”、“中高”、“中”、“低”、“接受所有Cookie”六个级别，你只要拖动滑块就可以方便地进行设定，而点击下方的“编辑”按钮，在“网站地址”中输入特定的网址，就可以将其设定为允许或拒绝它们使用Cookie。
禁用或限制使用Java程序及ActiveX控件（可能会导致某些正常站点访问出错）。
定期清除历史记录，方法是在浏览器的选项中找到类似“清除表单”和“清除密码”的按钮，并定期点击，歪歪推荐一周一次。

其实这些招数说穿了一点也不神秘，主要就是提高自己的安全意识，把敏感信息藏起来不让黑客接触到。

作者: qqluowenhua 时间: 2008-10-7 00:14

路过

学习了

欢迎光临紫菀论坛 (http://bbs.szyin.com/)