首页 > 专利信息

微博上的安全问题

关于微博安全问题的分析

短址一、微博的特性

1.微博很受欢迎，使用简单

2.信息门槛降低，网络可以带来更多的新闻咨询、奇闻趣事，同时也使多元化的

网络平台更加平易近人

3.微博是一个信息快速流动的平台

二、微博遭遇的攻击方式

1、跨站脚本攻击

攻击者在每一个杜撰的消息后面跟一个微博短网址，该网址又通过某网站的短址指向一个含跨站脚本攻击的链接。当受害者读取私信，鼠标指向那个短址链接时，攻击脚本就会执行。

这种攻击主要是针对是社交网站的XSS漏洞。

防范手法如下：

1. 防堵跨站漏洞，阻止攻击者利用在被攻击网站上发布跨站攻击语句不可以信任用户提交的任何内容，首先代码里对用户输入的地方和变量都需要仔细检查长度和对”<”,”>”,”;”,”’”等字符做过滤；其次任何内容写到页面之前都必须加以encode，避免不小心把html tag弄出来。这一个层面做好，至少可以堵住超过一半的XSS 攻击。

2. Cookie 防盗

首先避免直接在cookie 中泄露用户隐私，例如email、密码等等。其次通过使cookie和系统ip绑定来降低cookie 泄露后的危险。这样攻击者得到的cookie 没有实际价值，不可能拿来重放。

3. 尽量采用POST 而非GET 提交表单

POST操作不可能绕javascript 的使用，这会给攻击者增加难度，减少可利用的跨站漏洞。

4. 严格检查refer

检查http refer 是否来自预料中的url。这可以阻止第2 类攻击手法发起的http请求，也能防止大部分第1 类攻击手法，除非正好在特权操作的引用页上种了跨站访问。

5. 将单步流程改为多步，在多步流程中引入效验码

多步流程中每一步都产生一个验证码作为hidden 表单元素嵌在中间页面，下一步操作时这个验证码被提交到服务器，服务器检查这个验证码是否匹配。首先这为第 1 类攻击者大大增加了麻烦。其次攻击者必须在多步流程中拿到上一步产生的效验码才有可能发起下一步请求，这在第2 类攻击中是几乎无法做到的。

6. 引入用户交互

简单的一个看图识数可以堵住几乎所有的非预期特权操作。

7. 只在允许anonymous 访问的地方使用动态的javascript。

8. 对于用户提交信息的中的img 等link，检查是否有重定向回本站、不是真的图片等可疑操作。

9. 内部管理网站的问题

很多时候，内部管理网站往往疏于关注安全问题，只是简单的限制访问来源。这种网站往往对XSS 攻击毫无抵抗力，需要多加注意。安全问题需要长期的关注，从来不是一锤子买卖。XSS 攻击相对其他攻击手段更加隐蔽和多变，和业务流程、代码实现都有关系，不存在什么一劳永逸的解决方案。此外，面对XSS，往往要牺牲产品的便利性才能保证完全的安全，如何在安全和便利之间平衡也是一件需要考虑的事情。

2、钓鱼网站

近期网上出现了大量假冒新浪微博的钓鱼网站，据安全专家提示，黑客利用网

民对微博的关注热度，以巨额奖金作为"诱饵"，设立钓鱼，用户一旦轻信，便会上当。轻者导致微博账号、密码被盗，严重者将被骗钱财。

防范手法如下：

（1）网页输入框检查

用户浏览网页时BHO针对有无输入框的网页进行过滤，即通过嵌入在IE中的BHO插件，获取到页面是否存在INPUT信息，然后只将那些有输入框的页面提取并对其进行分析，而对那些没有任何输入框的网页，系统会把它们过滤掉。

（2）域名和标题匹配检查

针对提取到的那些输入框的页面，系统先进性第一步最为敏感的对比，通过BHO来提供网页的域名domain和标题title，可以跟BHO中连接一个小型的XML数据库中的作对比，判断其是否一致，这样，一旦发现不能匹配的，系统就会实时的给客户一个警告。这个小型的数据库用以存放知名网站（容易被钓鱼者利用的网站，如银行，淘宝）的域名domain和标题title，作为一个比较对象。

（3）黑白名单匹配检查

若在BHO中没有检索到用来对比的信息（域名domain和网址URL ），将被送至客户端主程序进行更深一步的查处理，为此在数据库中预设了一个白名单和黑名单，白名单保存着更多合法网站的网址URL，域名domain。在匹配的过程中，先检索黑名单中被用户定义禁止访问的站点是否匹配，然后再检索白名单。该数据库也可根据用户需要，自定义添加和删除数据项。

（4）域名备案查询

如果在客户端数据库的黑白名单中都检索不到域名可以匹配的话，则可以需要经过下一轮处理，即通过将该网页所在的域名发送到服务器，服务器接收并将该域名信息传送至域名备案中心进行查询，然后将查询结果（有无注册，有无备案号）返回至本地主机，并判断该网页是否合法，并及时确认消息。

（5）图像特征识别

在客户端黑名单中也没有到匹配的网址URL时，把该网址传送至服务器，对该加载后的网页截图，计算其特征值，并与数据库中国的现存的知名网站的账号密码输入时的网页图片特征值作对比，通过比较两张图片的相似度以及其域名是否一致来判断该网页是否为钓鱼网站。

三、关于微博上的安全问题

目前到的相关信息就是这些，我个人认为目前可以在微博做的安全相关的问题就是舆情，防跨站脚本攻击，防钓鱼网站这三方面。

防钓鱼网站已经有人做过，09年信息安全大赛中有一个小组是做的这个题目。

其实对于微博其主要的特点就是使用用户多，信息流通量大。如何保证用户信息的安全和微博正常运行是微博上安全的重点。

对于之前牛老师提到的关于微博泄露信息造成儿子被的这条新闻，其实其也可以看做是网络钓鱼这一块。就是说攻击者被动的去搜集一些关于用户的敏感信息而用于对此毫不知情，从而对用户的生命财产等造成了威胁。

微博泄露信息的方式有两种：1）实名注册及微博中的个人档中很多信息是真实的；2）在发信息和照片的时候无意中泄露了一些敏感信息。

对于第一类的信息泄露还好处理，如加强系统的安全性，通过上面提到的一些方式，一般情况下攻击者很难拿到实名注册的信息。对于个人档中的信息，这个一般情况下只能靠用户了。

对于第二类信息的泄露。如果是用户发送的消息，可以采取一些过滤的手法来进行处理，但效果可能不是很好。因为本身我们很难对所发信息中的内容真实性以及与用户的联系确定。如果是发的照片的话，难度可能加大。首先，不可能对每张照片进行审核。如果机器自动检测，那么首先如何从照片中读取信息就有一定难度，这可能需要一个建模的过程。另外的对读取出来的信息和用户的关系更难确定了。

本文发布于:2024-09-23 10:28:24，感谢您对本站的认可！

本文链接：https://www.17tex.com/tex/2/355250.html

上一篇：短信格式(sms)以及编码总结

下一篇：短链接生成有哪些?短地址转换怎么做?

标签：信息用户网站攻击域名网页是否

留言与评论（共有 0 条评论）