反钓鱼攻防策略

钓鱼网站原理

钓鱼网站的主要原理是制作一个假的网站冒充目标网站，诱骗用户访问该假冒网站，获取用户输入的个人敏感信息（密码，银行卡号，身份证号等）。

下面就几种常见的钓鱼攻击的方式和防御方法进行分析：

------------------------------------------------------------------------------------------------

攻（DNS劫持）：

攻击者进行DNS劫持，这种情况下域名是和目标网站完全一样的，但是用户访问的服务器的ip地址是假冒网站的ip

防（https）：

网站支持https，向权威CA机构（操作系统认可的知名CA）申请x509 certificate。根据SSL/TLS协议，浏览器会在访问https网站的时候验证服务器证书中的CN项必须和所访问网站的域名一致，而验证通过的证书对应的私钥只有目标网站的服务器才拥有，假冒网站不可能拥有。这种方式可以防止DNS劫持方式的钓鱼网站。

------------------------------------------------------------------------------------------------

攻（相似域名）：

攻击者申请一个和目标网站类似的url,例如申请taobaoo.com仿冒taobao.com。然后通过邮件,论坛发帖等方式传播这个假冒的url。用户点了这个url就访问了假冒网站。

防（没辙）：

这个没辙，只能访问目标网站时看仔细点，确保url没错。

------------------------------------------------------------------------------------------------

攻（诱骗支付）：

攻击者在目标电商网站下订单购买商品，在支付时把商户跳转到第三方支付平台的支付url保存下来。通过whatever手段，诱使用户使用该支付url访问第三方支付平台进行支付。

防（ip比较）：

商户在生成支付url时，指定当前用户的ip。第三方支付平台在处理该url对应请求时，会比较url中的ip和当前访问用户的ip，如果不一致，则认为生成支付订单时的用户和当前访问的用户不是同一个用户，拒绝处理。

防（referer比较）：

商户和第三方支付平台事先约定合法的referer。第三方支付平台在处理该url对应请求时，会验证当前http head中的referer是否属于对应商户的合法referer。如果验证失败，则认为当前请求不是在商户网站点击支付按钮时发起的，拒绝处理。

防（限制支付有效期）：

商户在生成支付url时，指定当前订单有效期。第三方支付平台在处理该url对应请求时，会验证订单未超时。通过这种方式减少留给攻击者传播支付url的时间，增加攻击难度。