在Web安全广受关注的今天,DNS成为网络安全比较薄弱的一环。DNS将域名解析为IP地址,引导浏览器等客户端访问域名指定的网站,但如果DNS服务器将域名故意解析到错误的IP地址,后果则十分严重。比如,未加密的用户名和密码等信息会通过这个途径泄露给第三方。如果配合证书伪造等手段,则可能对银行网站实行劫持。 目前许多普通的家庭用户都拥有iPad等无线设备,通过一个路由器共同联网,而DNS的设置则由路由器来决定。如果修改路由器的DNS设定,将造成DNS劫持。近一段时间网络上类似的攻击开始增多,如果不及时修改路由器的登陆密码,则会给黑客可乘之机。目前流行的攻击方法如下:
Tag: security
请关闭浏览器的密码自动填充功能
前几天看到一片文章《XSS Hack:获取浏览器记住的明文密码》(抱歉因安全考虑无法提供链接,请感兴趣的朋友百度之),讲的是目前还在萌芽中的一种跨站攻击方式——密码填充劫持。花了点时间研究了一下,觉得这种方法是几乎所有人都很难防范的。我在《网络安全的基石 – 密码安全》一文中曾提到了三种密码攻击的方法,而这次出现的是一种全新的攻击方法,十分隐蔽,且完全不需要互动。 跨站脚本攻击(Cross-Site Scripting),简称XSS,是近几年来十分流行的攻击手段,对社交网站等用户参与的网站尤为有效。我还记得前几年人人网就出过一次攻击,那时所有受影响的人都会自动转发一个帖子,而看到帖子的好友会继续转发,病毒式的扩散开来。