当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 自我防护Web站点和恶意链接的方法

安全防护
服务器安全设置(十六)
服务器安全设置(十七)
服务器安全设置(十八)
服务器安全设置(十九)
服务器安全设置(二十)
服务器安全设置(二十一)
服务器安全设置(二十二)
Windows Server 2003 虚拟主机的安全配置
Win2000 Server入侵监测
Web服务器的安全和攻击防范 (一)
Web服务器的安全和攻击防范 (二)
Web服务器的安全和攻击防范 (三)
Web服务器的安全和攻击防范 (四)
Web服务器的安全和攻击防范 (五)
安全配置和维护Apache WEB Server (上)
安全配置和维护Apache WEB Server (下)
安全性与IIS (一)
安全性与IIS (二)
安全性与IIS (三)
安全性与IIS (四)

安全防护 中的 自我防护Web站点和恶意链接的方法


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 53 ::
收藏到网摘: n/a

 

  概要

  当您在 Microsoft Internet Explorer、Microsoft Outlook Express 或 Microsoft Outlook 中指向某个超链接时,相应的 Web 站点的地址通常显示在窗口底部的状态栏中。当您单击的链接在 Internet Explorer 中打开后,相应 Web 站点的地址通常显示在 Internet Explorer 的地址栏中,同时相应 Web 页的标题通常显示在窗口的标题栏中。

  然而,恶意用户可能会创建一个指向欺骗性(冒牌)Web 站点的链接,并让该链接在状态栏、地址栏和标题栏中显示合法 Web 站点的地址或 URL。本文介绍您可以采用哪些方法减轻此问题造成的影响以及采用哪些方法识别欺骗性(冒牌)Web 站点或 URL。

  本文还讨论了您可以采用哪些方法来防范冒牌 Web 站点。现将这些方法总结如下:

  • 安装 MS04-004 Internet Explorer 累积安全更新 (832894)。
  • 在键入任何个人信息或敏感信息前,确保右下方状态栏中有一个锁形图标,并验证提供您正在查看的页面的服务器的名称。
  • 不要单击任何您不信任的超链接。您应在地址栏中亲自键入这类信息。

  安装 MS04-004 Internet Explorer 累积安全更新 (832894)
  有关此安全更新的其他信息,请访问下面的 Microsoft Web 站点:
  http://www.microsoft.com/technet/security/Bulletin/MS04-004.asp

  本文还讨论了可帮助您识别冒牌 Web 站点和恶意超链接的方法。

  如何防范冒牌 Web 站点

  在键入任何敏感信息前,确保 Web 站点使用 Secure Sockets Layer/Transport Layer Security (SSL/TLS),并检查服务器的名称。

  人们通常使用 SSL/TLS 对通过 Internet 传输的信息进行加密,以保护信息。不过,SSL/TLS 还可用来验证您是否将数据发送给了正确的服务器。通过检查 SSL/TLS 的数字证书用户上的名称,您可以验证提供您正在查看的页面的服务器的名称。为此,请确保 Internet Explorer 窗口的右下角显示有锁形图标。

  注意:如果状态栏未启用,则不会显示锁形图标。要启用状态栏,请单击“查看”,然后单击选中“状态栏”。

  要验证数字证书上显示的服务器名称,请双击锁形图标,然后检查“颁发给”旁边显示的名称。如果 Web 站点未使用 SSL/TLS,则不要向站点发送任何个人信息或敏感信息。如果“颁发给”旁边显示的名称与您认为提供了您正在查看的页面的站点的名称不相同,请关闭浏览器以退出站点。有关如何执行此操作的其他信息,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/security/incident/spoof.asp###NextPage###  如何防范恶意超链接

  最有效的防范恶意超链接的方法是不单击这类超链接,而在地址栏中亲自键入要访问的 URL。通过手动在地址栏中键入 URL,您可以验证 Internet Explorer 访问目标 Web 站点时将使用的信息。为此,请在地址栏中键入 URL,然后按 Enter 键。

  注意:如果未启用地址栏,则地址栏不显示。要启用地址栏,请单击“查看”,指向“工具栏”,然后单击选中“地址栏”。

  Web 站点未使用 SSL/TLS 时如何识别冒牌站点

  要验证提供您正在查看的页面的站点的名称,最有效的方法是使用 SSL/TLS 来验证数字证书上的名称。但是,如果站点不使用 SSL/TLS,您就无法最终验证提供您正在查看的页面的站点的名称。不过,在某些情况下,您可以采取一些方法来帮助您识别冒牌站点。

  警告:下面的信息针对已知的攻击提供了一些一般性的准则。因为攻击经常会发生变化,恶意用户可能会使用此处未介绍的方法来创建冒牌 Web 站点。为了帮助您保护自己,您只应在验证了数字证书上的名称后,才可键入个人信息或敏感信息。此外,如果您基于任何理由怀疑一个站点的真实性,请立即通过关闭浏览器窗口来离开此站点。通常情况下,最快捷的关闭浏览器窗口的方法是按 ALT+F4。

  尝试识别当前 Web 页的 URL

  要尝试识别当前 Web 站点的 URL,请使用下面的方法。

  使用 Jscript 命令尝试识别当前 Web 站点的实际 URL

  在 Internet Explorer 中使用 JScript 命令。 在地址栏中键入以下命令,然后按 Enter 键:

  javascript:alert("Actual URL address:" + location.protocol + "//" + location.hostname + "/");

  警告:您直接在地址栏中键入脚本时要小心。您直接在地址栏中键入的脚本能够在本地系统上执行当前登录用户可以执行的操作。

  JScript 消息框将显示您正在访问的 Web 站点的实际 URL Web 地址。

  您还可以复制以下 JScript 代码并将其粘贴到地址栏中,以获取有关该 Web 站点 URL 的更详细描述:

  javascript:alert("The actual URL is:\t\t" + location.protocol + "//" + location.hostname + "/" + "\nThe address URL is:\t\t" + location.href + "\n" + "\nIf the server names do not match, this may be a spoof.");

  将实际 URL 与