我们的生活越来越离不开互联网了,越来越喜欢网购了。可是在网购的过程中,我们时不时的都会听说,某某人被钓鱼了,某某人的账号信息被到用了。作为程序员的我,回溯最近的几个年头,也有好些次差点被这些互联网上的链接给骗了。
故事1: 有一天,一QQ qun里的兄弟, 发了一链接(这个链接和QQ空间的链接好相似),然后说:“这个QQ空间里面有很多的xxxx”.一时兴起的同学立即点开,然后弹出的页面,和QQ空间的模子一个样,要想再进一步点击观看,需要登录。 然后,你输入用户名密码,发现什么也没有,或是真有什么。。。。不过请知道,你的QQ账号已经被窃取了。你被网站的假象给蒙骗了。
故事2: 接着故事1,假如这不是一个QQ空间,还可能是一个有交易的假冒网站(比如移动,联通的官网),故事继续发展,我们在这个网站上,进行手机充值,之前输入的是自己的手机号码,然后,选择了某某支付方式,比如第三方的支付公司,等我们支付完成了后,恍然才发现,我们给别人冲了值。 我的个去啊。
钓鱼场景还很多,大概都是这样的:假冒网站盗号然后获取信息; 假冒请求,直接获取财富或资料
面对故事1这种,大概只能自求多福,眼睛多观察,多留心了
面对故事2这种,我们有理由要求,支付公司为我们提供一定的安全保障,明明不是在他们的合作伙伴网站上支付,竟然支付成功了
这里研究了一下传统进行防钓鱼的措施有3种:白名单校验, 时间戳校验, IP检查
1. 白名单检查
商户调用支付公司系统,其http请求的Referer字段应该是支付公司合作伙伴的某个URL链接。支付公司会收集合作伙伴的网站域名做成一个集合叫做“白名单”
逻辑:
1、refer为空,交易直接失败。
2、refer不为空,refer域名不属于白名单列表时,失败交易
2. 时间戳检查
商户在发出http请求前先调用支付公司提供的一个接口来拿到支付公司服务器上的当前时间T1,把时间T1作为支付请求链接的一个参数加在url中传递给支付公司服务器,支付公司服务器接收到请求后先取出url中的时间参数T1,然后再取一下支付宝服务器当前的系统时间T2,计算两个时间的间隔,如果时间差超过一定范围,则时间戳检查失败,拒绝服务,可以跳转到error页面。时间间隔的设定默认是60秒,可以根据配置灵活的调整
3. IP检查
商户首先在商户平台内获取用户客户端的IP地址,然后将该IP地址作为支付接口的参数加到URL中。支付公司服务器在接受到支付请求后先取出URL中的IP值,然后再重新获取当前操作用户的客户端IP地址,比对两者是否一致,如果不一致,则IP检查失败,然后提醒风险(这里是提示风险,由用户决定是否下一步操作,因为IP可能获取不同,比如某公司有双网络出口)
面对故事2中的事情,很明显支付公司可以有个白名单拦截,这里就可以避免无辜的老百姓上当受骗。
- 浏览: 491832 次
- 性别:
- 来自: 杭州
最新评论
-
herofighter2008:
图呢?图呢?图呢?图呢?
BlockingQueue -
zy13608089849:
请问一下博主,文中几处提到的图,怎么都没有?是我这显示不出来还 ...
BlockingQueue -
swift911:
在短信的场景下很好用,感谢分享
BlockingQueue -
tony_0529:
学习了~谢谢分享。
BlockingQueue -
Master-Gao:
...
BlockingQueue
相关推荐
外贸部培训防钓鱼保安全.pptx
钓鱼网站可简单的理解为不法分子为了实施网络攻击精心构造的具有欺诈性的特殊类型的网站,利用钓鱼网站实施的网络攻击称为网络钓鱼攻击。
内网入口防护-钓鱼邮件检测与治理.pdf
基于词向量和cnn的恶意邮件检测防钓鱼
2021企业邮件钓鱼演练分析报告.pdf2021企业邮件钓鱼演练分析报告.pdf2021企业邮件钓鱼演练分析报告.pdf2021企业邮件钓鱼演练分析报告.pdf2021企业邮件钓鱼演练分析报告.pdf2021企业邮件钓鱼演练分析报告.pdf2021企业...
钓鱼技巧,钓鱼技巧课件,钓鱼技巧PPT
钓鱼+岸边钓鱼目标检测模型 已训练完成的模型,可直接使用,不需再进行训练 yolo系列目标检测 钓鱼目标检测数据集也可提供
网络钓鱼式攻击手法( 网络钓鱼式攻击手法(Phishing AttackPhishing Attack))介绍介绍:利用虚假的网站进行网络钓鱼式攻击 利用虚假的网站进行网络钓鱼式攻击利用虚假的邮件进行网络钓鱼式攻击 利用虚假的邮件...
慧达网购防钓鱼是一款的云端病毒查杀软件,系统采用云端毒库,更智能更小巧。主要应用于提醒用户某些恶意软件进行的非法修改。如修改淘宝证书以达到欺骗用户的手段。软件
c++钓鱼游戏c++钓鱼游戏 c++钓鱼游戏 c++钓鱼游戏 c++钓鱼游戏 c++钓鱼游戏c++钓鱼游戏 c++钓鱼游戏 c++钓鱼游戏c++钓鱼游戏 c++钓鱼游戏 c++钓鱼游戏 c++钓鱼游戏 c++钓鱼游戏 c++钓鱼游戏c++钓鱼游戏
fluxion Wifi 钓鱼汉语页面、QQ登录认证
Chill Fish 冰海钓鱼Unity钓鱼模拟挂机游戏项目源码C# 支持Unity版本2021.3.11f1及以上 在这款游戏中,您将在轻松的音乐中享受钓鱼的乐趣,但也有人会让这种乐趣变得更加刺激。这就是为什么你必须与时间赛跑并增强...
钓鱼HTML5游戏源码,运行需要服务器环境,已经反复测试,放心使用。
76-钓鱼网站攻击与防御
休闲钓鱼小游戏H5源码,运行需要服务器环境,已经反复测试,放心使用。
配合软件在纳格兰自动寻找鱼点和水点释放钓鱼
怀旧服钓鱼脚本,成功率根据天气状况不定。钓鱼放F1键,第一人称模式按win+F2开启。最好选择画面背景简单的场景进行。
本文分析了网络钓鱼技术的实现方法,介绍了网络钓鱼的准备工具以及钓鱼策略。
钓赛通-是一个全平台的钓鱼比赛计分排名软件(公益项目,永久免费)。共支持(安卓手机,苹果手机,IPad,电脑PC,微信小程序)它功能强大,使用方便。 从钓鱼比赛的报名,比赛签到,比赛抽签,比赛成绩计分,比赛排名...