如何保护这个?
https://breakdev.org/evilginx-advanced-phishing-with-two-factor-authentication-bypass/
在许多技术中我有很多网站......我需要一种保护方式。
我想知道是否有类似的事情会在事后检查可疑的知识产权活动?
只是这个?真?
我可以查看我的SSL证书吗? HSTS?避免使用nginx来服务我的网站?
在您的登录页面上包含这样的内容(确保将X-FRAME-OPTIONS标题设置为DENY),将“您的预期来源”更改为......好吧,我相信您可以弄清楚:
var inP = true, t = self, l = "loc" + "ation", o = "o" + "rigin", ex = "Your " + "expected" + " origin", db = document, b = "bod" + "y", h = "in" + "ner" + "HTML";
try {
inP = t[l][o] != ex;
} catch (e) {
inP = true;
}
if (inP) {
db[b][h] = "<p>For security reasons, this site cannot be viewed though a proxy. Please access the site directly at <a href="+ex+" target='_top'>" + ex + "</a>.</p>";
throw new Error("Prevent any other code in this block from running.");
}
尝试阻止代理注意到你正在做什么,这是混淆的,但只是为了确保,将它与一些对于运行页面至关重要的JavaScript混合(就像将一个CSRF令牌添加到登录表单中)。这样他们就不能阻止文件。 (但随机化混淆以阻止尝试过滤或解析代理中的文件)。
添加<noscript>
标记,说明出于安全原因,您必须在此页面上启用JavaScript。
它不是防弹的(有人真的会决定如何绕过你的混淆),但它应该阻止刚刚从教程中安装Evilginx的脚本小子。
进一步改进:实施WebAuth并建议所有客户使用它。使用功能策略标头和/或使用JavaScript将WebUSB API设置为undefined
,因为您几乎肯定没有使用它,并且WebUSB中存在对WebAuth的攻击。