如何预防网站劫持
“互联网+”的浪潮席卷而来,而互联网安全形势却不容乐观。近年来,由黑客入侵、非法访问、信息丢失、信息窃取、隐私泄露、勒索病毒造成的网络安全问题屡见不鲜,而近期又有很多网站遭遇了流量劫持问题,对网站以及用户都造成了很大的损失和困扰。为了帮助网站站长更好地应对网站的安全问题,我们研究如何去预防网站劫持。
网站防劫持的其中一个办法,就是为你的网站部署ssl证书,升级成为HTTPS网站。HTTPS网站能够为你的网站页面内容进行加密传输,并能有效的防止网站劫持。
防止DNS劫持
DNS劫持攻击亦称为DNS重定向是一种网络攻击,攻击者劫持用户的DNS请求,错误地解析网站的IP地址,用户试图加载,从而将其重定向到网络钓鱼站点。
攻击涉及破坏用户的系统DNS(TCP / IP)设置,以将其重定向到“Rogue DNS”服务器,从而使默认DNS设置无效。要执行攻击,攻击者要么在用户的系统上安装恶意软件,要么通过利用已知漏洞或破解DNS通信来接管路由器。因此,用户将成为域欺骗或网络钓鱼的受害者。
HTTPS刚好就能解决这个问题。因为访问HTTPS网站是,客户端浏览器会先得到该网站的ssl证书,ssl证书是必须要与网站域名相匹配的。假如你访问www.domain.com网站地址,那么就会得到一张www.domain.com的证书,浏览器会校验这个域名和证书是否一致,不一致将会提示错误。那么DNS劫持就行不通了,因为非法网站中并不能拥有www.domain.com域名的证书,纵然DNS劫持能够返回一个页面内容,但是却没有ssl证书,那么就无所遁形了。HTTPS是预防DNS劫持的很好的办法,DNS劫持一般也只是针对HTTP网站才会有效。
植入JS文件
网站数据被植入了一些新增加的内容,这些内容形式和网站其他数据看似正常,但是看时间日期,会发现内容往往比较集中,而并不是编辑人员添加的内容。这种网站往往是一些能够办理证件的网站,诸如职业资格证、毕业证等。黑客为一些非法客户在正规官网植入虚假职业信息,而从中获取高额利益。被攻击的网站往往是一些大学官网、教育部门网站或一些资质认定的网站。比如通过植入JS文件,来获取用户的账号密码等个人信息。
HTTPS同样能解决这个问题。采用了HTTPS的网站,其页面内容引用必须都为HTTPS,假如存在HTTP的外部引用,那么浏览器将会发现,同时会提示用户该网页不安全。由于非法植入的JS文件一般都是HTTP,原因是这些非法网站很难去申请成为HTTPS网站。那么当浏览器发现页面中使用了外部非HTTPS的资源时,将会马上提示用户页面不安全,并且会屏蔽禁止掉不安全的内容。这样HTTPS就会起到一个很好的保护作用。
ssl证书类型
ssl证书也有多个版本,可以概括为DV版、OV版、EV版,DV版是域名型,主要是验证域名所有权,将证书颁发给该域名,因此只有拥有域名所有权,就可以有域名证书。OV是组织验证型证书,认证必须有企业或组织资质,验证组织身份之后,颁发证书,证书是颁发给该组织,并绑定该域名,仅供该组织的该域名使用该证书。申请OV证书之后,在证书中不但可以看到使用的域名,而且可以查到该组织的组织名称。
而EV是一种最高级证书,使该证书,不但我们可以对连接加密,而且会在浏览器地址栏显示绿色的公司名称。其他验证方式和OV一样,也是颁发给组织,供该组织的特定域名所有。
