`
wsmajunfeng
  • 浏览: 496933 次
  • 性别: Icon_minigender_1
  • 来自: 杭州
社区版块
存档分类
最新评论

防钓鱼逻辑

 
阅读更多

我们的生活越来越离不开互联网了,越来越喜欢网购了。可是在网购的过程中,我们时不时的都会听说,某某人被钓鱼了,某某人的账号信息被到用了。作为程序员的我,回溯最近的几个年头,也有好些次差点被这些互联网上的链接给骗了。

故事1: 有一天,一QQ qun里的兄弟, 发了一链接(这个链接和QQ空间的链接好相似),然后说:“这个QQ空间里面有很多的xxxx”.一时兴起的同学立即点开,然后弹出的页面,和QQ空间的模子一个样,要想再进一步点击观看,需要登录。 然后,你输入用户名密码,发现什么也没有,或是真有什么。。。。不过请知道,你的QQ账号已经被窃取了。你被网站的假象给蒙骗了。

故事2: 接着故事1,假如这不是一个QQ空间,还可能是一个有交易的假冒网站(比如移动,联通的官网),故事继续发展,我们在这个网站上,进行手机充值,之前输入的是自己的手机号码,然后,选择了某某支付方式,比如第三方的支付公司,等我们支付完成了后,恍然才发现,我们给别人冲了值。 我的个去啊。

钓鱼场景还很多,大概都是这样的:假冒网站盗号然后获取信息; 假冒请求,直接获取财富或资料
面对故事1这种,大概只能自求多福,眼睛多观察,多留心了
面对故事2这种,我们有理由要求,支付公司为我们提供一定的安全保障,明明不是在他们的合作伙伴网站上支付,竟然支付成功了


这里研究了一下传统进行防钓鱼的措施有3种:白名单校验, 时间戳校验, IP检查
1. 白名单检查
商户调用支付公司系统,其http请求的Referer字段应该是支付公司合作伙伴的某个URL链接。支付公司会收集合作伙伴的网站域名做成一个集合叫做“白名单”
逻辑:
1、refer为空,交易直接失败。
2、refer不为空,refer域名不属于白名单列表时,失败交易

2. 时间戳检查
商户在发出http请求前先调用支付公司提供的一个接口来拿到支付公司服务器上的当前时间T1,把时间T1作为支付请求链接的一个参数加在url中传递给支付公司服务器,支付公司服务器接收到请求后先取出url中的时间参数T1,然后再取一下支付宝服务器当前的系统时间T2,计算两个时间的间隔,如果时间差超过一定范围,则时间戳检查失败,拒绝服务,可以跳转到error页面。时间间隔的设定默认是60秒,可以根据配置灵活的调整

3. IP检查
商户首先在商户平台内获取用户客户端的IP地址,然后将该IP地址作为支付接口的参数加到URL中。支付公司服务器在接受到支付请求后先取出URL中的IP值,然后再重新获取当前操作用户的客户端IP地址,比对两者是否一致,如果不一致,则IP检查失败,然后提醒风险(这里是提示风险,由用户决定是否下一步操作,因为IP可能获取不同,比如某公司有双网络出口)

面对故事2中的事情,很明显支付公司可以有个白名单拦截,这里就可以避免无辜的老百姓上当受骗。

分享到:
评论

相关推荐

    网络游戏-一种互动式钓鱼游戏的摇杆机构.zip

    在这种背景下,"一种互动式钓鱼游戏的摇杆机构"是一个重要的设计元素,它可能涉及到游戏控制器、物理模拟、用户界面以及游戏逻辑等多个方面。下面我们将详细探讨这个摇杆机构在网络游戏中的应用和实现技术。 首先,...

    2023最新防红短链接在线生成源码内置接口无广告.zip

    防红短链接,全称“防止被红包钓鱼的短链接”,是一种用于保护用户免受恶意链接攻击的技术。2023年最新发布的这款防红短链接在线生成源码,以其内置接口和无广告的特点,为开发者提供了一个高效且安全的解决方案。 ...

    基于深度学习的钓鱼页面检测系统 前后端架构.zip

    2. **后端**:后端负责处理数据和业务逻辑,通常使用Python(如Django或Flask)、Java(Spring Boot)、Node.js(Express)等服务器端语言。后端会集成深度学习模型,可能使用TensorFlow、PyTorch或Keras等库来实现...

    防红检测微信域名检测系统源码带API.zip

    防红检测系统能够及时发现这些链接,避免用户在点击后遭遇潜在的恶意行为,如欺诈、钓鱼网站等。 该系统的核心功能包括: 1. **实时监测**:通过对接微信官方接口,系统能够实时监控并分析微信平台对各个域名的...

    luojihuiguisecond_python实战_防诈骗案例_

    这可能是针对网络钓鱼、虚假广告、恶意软件等常见诈骗手段的防范。 首先,我们要理解Python在数据处理和分析方面的强大能力。Python拥有丰富的库,如Numpy用于数值计算,Pandas用于数据清洗和分析,以及Matplotlib...

    探究主机网络安全防护技术的研究与应用.pdf

    由于软件在设计和实现过程中可能存在的逻辑错误或漏洞,攻击者能够通过这些漏洞植入恶意代码或执行非授权操作。而用户操作失误则是安全风险的另一个主要来源。许多网络用户对于如何安全地使用网络缺乏了解,这使得...

    企业安全防御「边界」.pdf

    攻击者可能会采用应用市场、主站、二级域名、C段扫描、QQ群、云存储服务和搜索引擎等多种渠道,甚至是社工钓鱼,来发现内部应用程序中存在的漏洞,比如SQL注入、越权访问、命令执行、上传漏洞以及逻辑设计上的缺陷。...

    计算机网络安全防护技术分析 (1).pdf

    5. 钓鱼网站:不法分子利用伪装的网站或电子邮件进行网络诈骗,获取个人信息,威胁个人财产和安全。 三、计算机网络安全防护技术分析 为了有效防范网络安全问题,可以采取以下措施: 1. 强化网络人才的培养:加强...

    Phishing_Website_Detection:该项目基于使用随机森林分类公式检测网络钓鱼欺诈性网站。 使用Python编程语言和Django框架实现

    在本项目中,Python被用来处理和分析数据,构建模型,并实现整个系统的后端逻辑。Django,作为一个成熟的Web开发框架,提供了模型-视图-控制器(MVC)架构,使得开发者能够快速构建稳定且安全的Web应用。 随机森林...

    PHP开发漏洞环境(SQL注入+文件上传+文件下载+XSS+万能密码+session/cookie+购物逻辑漏洞的学习等等)

    攻击者可以通过注入脚本窃取用户的Cookie、会话信息,或者进行钓鱼攻击。 5. 万能密码:在某些系统中,由于密码验证机制设计不当,可能存在弱口令或者默认密码,攻击者可以轻易地尝试这些通用的密码组合,从而获取...

    猎豹浏览器下载

    BIPS包括金山毒霸K+和云安全两个部分,它们与浏览器内核无缝集成,不仅使猎豹具备了专业级的防钓鱼和防木马的能力,而且能够防止恶意程序非法篡改和注入浏览器内核,即使在没有杀毒软件的情况下也能够充分保证浏览器...

    ChatGPT技术在信息安全与网络攻防中的潜在应用前景.docx

    ChatGPT 技术是一种基于 Transformer 模型的自然语言生成技术,能够根据输入的文本生成连贯、具有上下文逻辑的回答。该技术在信息安全与网络攻防中有着广泛的应用前景,可以提升网络安全的防护水平,减少网络攻击...

    phanbase:数据增强型网络钓鱼侦听

    Phanbase 是一个数据增强型网络钓鱼侦听工具,它主要作为一个 Chrome 浏览器扩展程序运行,旨在提升用户对网络钓鱼攻击的防范能力。Phanbase 的核心功能是通过集成到用户的浏览器环境中,帮助识别和预警潜在的网络...

    转载app安全

    5. **登录界面可被钓鱼劫持**:缺少防钓鱼措施的登录界面容易被劫持,导致用户信息泄露。应用应检测活动栈,一旦发现异常跳转,立即警告用户。同时,可以考虑使用HTML5或混合开发技术增强关键页面的安全性。 在整改...

    unPhish:创建一个 chrome 应用程序,以便能够检测标签何时被钓鱼

    2. `background.js`:后台脚本,用于处理事件监听和逻辑处理,通常不与用户界面直接交互。 3. `content_script.js`:内容脚本,直接注入到用户访问的网页中,负责执行 URL 检查和页面分析。 4. `popup....

    webapi接口请求数据防篡改

    总的来说,"webapi接口请求数据防篡改"的实现依赖于客户端和服务器之间的协同工作,包括正确地生成和验证数据签名,以及在服务器端添加适当的验证逻辑。这是一项关键的安全措施,能够保护Web API免受各种类型的攻击...

    F5 ASM应用安全管理测试方案.docx

    6. 防参数修改攻击:参数篡改是攻击者通过改变HTTP请求参数来影响应用逻辑的行为。测试将检查ASM是否能有效识别和阻止此类行为,保护应用的正常运行。 三、测试方法与步骤 每个测试项将按照以下步骤进行:设置攻击...

    MEWKit: Cryptotheft 的最新武器

    - **sm.js**:核心脚本,包含处理用户输入、验证信息及执行资金转移逻辑的代码。 ##### 3. ATS执行流程 一旦用户在钓鱼页面上输入了私钥或助记词等敏感信息,这些数据会被立即发送给攻击者的服务器。接着,服务器...

    Altospam防病毒反垃圾邮件软件「Logiciel antispam antivirus Altospam」-crx插件

    Altospam est un合逻辑的Saas desécurisationdes电子邮件倾注了企业的心。电子邮件自动过滤服务不受欢迎的电子邮件:垃圾邮件,病毒,网络钓鱼,诈骗和éventuellementpub。在适当的情况下,您需要花费几分钟才能...

    互联网企业应对恶意网址的思考.ppt

    例如,一些恶意代码会利用ActiveX漏洞、逻辑漏洞或浏览器漏洞,并通过各种加密和编码方式逃避安全软件的检测。 面对这些挑战,互联网企业需要采取一系列措施来应对恶意网站。首先,企业可以利用搜索引擎如Google和...

Global site tag (gtag.js) - Google Analytics