例如,如果我位于
https://www.example.org/
的网站加载了位于https://www.example.org/script.js
的脚本文件,则攻击者可以注册dxample.org
并托管一个恶意JS文件,该文件将由我的网站的某些用户下载并执行。 br /> 是否有针对它的标准防御技术?
#1 楼
是否有任何针对它的标准防御技术?但是假设它们是,那么子资源完整性(SRI)会有所帮助。
使用SRI,您可以在
integrity
属性中指定要加载的资源的哈希,如下所示:<script src="http://www.example.org/script.js"
integrity="sha256-DEC+zvj7g7TQNHduXs2G7b0IyOcJCTTBhRRzjoGi4Y4="
crossorigin="anonymous">
</script>
从现在开始继续,因为是否有位错误(或由MITM修改)而从其他域中获取脚本都没有关系,因为如果其内容的哈希值与完整性值不匹配,浏览器将拒绝执行脚本。因此,当出现一点错误或其他原因使URL解析为攻击者控制的
dxample.org
时,他们可以成功注入的唯一脚本将是与哈希匹配的脚本(即,无论如何您打算加载的脚本)。 /> SRI的主要用例是从可能不受信任的CDN中获取脚本和样式表,但是它可以在任何您想要确保所请求的资源未被修改的情况下工作。目前,SRI仅限于
script
和link
,但稍后可能会支持其他标签:即a
,audio
,embed
,iframe
,img
,link
,object
,script
,source
,track
和video
元素。(来自规格) >(另请参阅此错误通知单)
评论
根据MDN,SRI仅适用于
评论
域名抢注似乎更大。而且我不认为doublechick.net流量完全是位错误!我认为您对此无能为力。此外,很难从您所显示的文章中得出结论,因为无法通过调用网页来了解这些流量是否确实是位错误或仅仅是编程错误。
这是理论上的问题,还是您真正关心您的网站?您是否正在运行一个拥有数百万访问者的热门域名?
@Bergi:这是一个理论问题。我已经在拥有数以百万计的访问者的网站上工作,但是比按位购买更大的问题,因为正如一些答案所述,这是非常罕见的事件。 :)
@Therac Typosquatting是一个使网络钓鱼更有可能成功的问题,本质上是主动攻击。抢注似乎是一种利用DNS解析器中的日常错误的技术,并且绝对是一种被动攻击。即使是非常谨慎的用户也可能成为“ Bitsquated”域的受害者,因为没有机会进行交叉检查和干预。