Как можно предотвратить Человека в нападениях Браузера?
[System.Web.Services.WebMethod]
public static void GetData()
{
MessageBox.Show("Calling From Client Side");
//Your Logic comes here
}
<asp:ScriptManager ID="ScriptManager2" runat="server" EnablePageMethods="true"/>
<body>
<form id="form1" runat="server">
<script type="text/javascript">
function CallingServerSideFunction() {
PageMethods.GetData();
}
</script>
</form>
</body>
4 ответа
Вообще говоря, если ваша машина заражена, вы уязвимы, несмотря ни на что.
Физический токен или "внеполосный" токен предназначен для решения проблемы "идентичности" и дает банк более высокая уверенность в том, что человек входит в систему именно так, как они себя называют. Такой механизм обычно включает использование метода «одноразового кода», так что даже если кто-то записывает разговор с банком, токен не может быть использован повторно. Однако, если вредоносная программа перехватывает в режиме реального времени, они могут злонамеренно контролировать учетную запись после того, как вы успешно вошли в систему, но часто банки требуют новый «код» каждый раз, когда вы пытаетесь сделать что-то вроде перевода денег со счета. Таким образом, вредоносной программе придется подождать, пока вы сделаете это законно, а затем изменить запрос. Однако большинство вредоносных программ не работают в режиме реального времени и отправляют данные третьей стороне для сбора и последующего использования. Использование этих методов «одноразового токена» успешно защитит от постобработки данных входа в систему, потому что записанные данные не могут быть использованы позже для входа в систему.
Чтобы ответить на ваш вопрос, нет способа защититься от этого только в коде. Все, что вы делаете, можно специально обойти с помощью вредоносного ПО.
Будет ли электронная почта считаться OOB-транзакцией?
Учитывая распространенность почтовых веб-сервисов, таких как GMail, я бы сказал нет. Даже если целью такой атаки не будет ' t с помощью веб-почты злоумышленник, контролирующий браузер цели, может отправить поддельное письмо, как вы и предлагаете.
In the article which is the subject of (and referenced by) that Wikipedia article, step 1 in the "Method of Attack" is stated as:
- The trojan infects the computer's software, either OS or Application.
The answer to your question is therefore "no": once the O/S is infected then the malware can (theoretically at least) be intercepting your email too.
As an aside, some client platforms (e.g. even mobile phones, not to mention dedicated point of sale terminals) are less susceptible to infection than others.
Я полагаю, вы могли бы использовать критически важные части информации о транзакции как часть вторичного или третичного этапа проверки транзакции. То есть, если бы я думал, что сказал банковскому счету № 12345, а он услышал № 54321, потому что данные были фальсифицированы этим типом атаки, вторичная проверка не прошла бы проверку шифрования. Банк также мог бы отразить что-то, что было бы труднее изменить, например изображение, содержащее соответствующую информацию.
Суть подобных обсуждений в том, что они всегда могут стать более сложными. Электронная почта недействительна вне диапазона, потому что, я должен представить, что у меня есть руткит ... если я остановлюсь, я должен представить, что моя ОС на самом деле является гостевой ОС, работающей на злой виртуальной машине ... если я остановлюсь это, я думаю, я должен представить, что это матрица, и я могу » Я ничему не доверяю, чтобы защитить мою карту Visa с 200 долларов на счету. :)