網页挂马及其防御.docVIP

公司总部 办事处 媒体联络 如何购买 意见反馈 H3C代理商查询 网页挂马及其防御 如今在互联网上，“网页挂马”是一个出现频率很高的词汇。关于某些网站被挂马导致大量浏览用户受到攻击，甚至造成财产损失的新闻屡见不鲜。而这些挂马事件总能和一些软件漏洞联系起来。那么，什么是网页挂马？网页挂马和软件漏洞有什么联系？它的危害在什么地方，又该如何防御呢？本文结合攻防研究中的经验体会，将就这些问题进行探讨。 网页挂马简介 什么是网页挂马 要解释什么是网页挂马，要先从木马说起。大家知道，木马是一类恶意程序，和其它的正常文件一样存在于计算机系统中。这些恶意程序一旦运行，会连接到远处的控制端，使其享有恶意程序所在系统的大部分操作权限，例如给计算机增删密码，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等各种有害操作，而这些操作往往不被使用者察觉。将木马与网页结合起来成为网页木马，表面看似正常的网页，当浏览者浏览该网页的同时也运行了木马程序。网页木马利用系统、浏览器或浏览器相关插件自身存在的漏洞，自动下载已经放置在远端的恶意程序。由于下载过程利用了软件上的漏洞，是非正常途径，不会被计算机系统或浏览器本身所察觉。网页挂马指的是攻击者篡改了正常的网页，向网页中插入一段代码，当用户浏览网页的同时执行这段代码，将引导用户去浏览放置好的网页木马。使用一些特别的技术可以使得这段代码的执行对用户来说不可见。 网页挂马的危害性 浏览器、应用软件或系统总是存在各种各样的漏洞，只要这些漏洞能够被利用并执行任意代码，那么存在漏洞的系统就有可能受到网页木马攻击。网页挂马的技术门槛并不高，互联网上可以得到很多现成的攻击工具。同时网页木马隐蔽性高，挂马所用代码在浏览器中的执行、网页木马的执行和恶意程序的下载运行，用户都无法察觉。网页挂马的传播范围同被挂马网页的数量和浏览量成正比。各种类型的网站都可以成为网页挂马的对象。上述这些原因使得网页挂马成为攻击者传播木马或病毒的最有效手段之一。 网页木马下载的木马病毒通常用于盗窃银行卡、网游、电子邮件或即时聊天工具（如腾讯QQ）的账号密码，或窃取私密文件（如私人照片视频等）或私人信息。这些内容一旦泄露，往往会对受害者造成物质或精神上的损失。网页挂马的危害性可见一斑。 网页挂马常见类型 攻击者往往利用SQL注入、文件包含、跨站脚本、目录穿越等常见的网站漏洞获取到网站的某些权限，并上传Webshell等黑客工具对网页进行修改，这就是常说的网页篡改。一般网页挂马都是通过网页篡改来实现的。网页挂马的方式有很多，下面是几种常见的类型。 1. iframe标签 这是最常见的挂马方式。只要不破坏原始文件的代码逻辑，通常可以插入文件的任何地方，也叫做框架挂马。它所利用的代码是 iframe src=/trojan.html width=0 height=0/iframe 当被挂马的网页在浏览器中显示时，这段代码也同时被执行，指引浏览器去访问加载了网页木马的页面。由于标签的高度和宽度都设置为0，用户在浏览网页时不会察觉到浏览器访问了这个页面。 另外还有一些标签，例如“body”，以及CSS中的“style”等，都可以用作挂马的代码，基本原理和“iframe”标签相同。 图1展示了利用iframe标签进行挂马的方式： 图1 简单的挂马方式流程 图1中，如果浏览器访问了正常网页（/normal.html），也就访问了iframe标签中所指向的网页木马（/trojan.html），而这个网页木马会利用系统上的漏洞去下载木马程序（trojan.exe）。实际中为了增加隐蔽性，攻击者可能会增加中间的跳跃环节，使得真正的网页木马难以跟踪，但攻击流程都相同。 2. Javascript脚本 利用Javascript脚本可以动态创建一个窗口并调用网页木马，即如下的代码： script language=Javascript document.write(iframe iframe src=/trojan.html width=0 height=0/iframe) /script 在这里实际的“iframe”标签挂马成为document.write函数参数，依然有同样的效果。还可以做的更隐蔽一些，插入网页的代码为： script language=Javascript src=/abc.js/script 而文件/abc.js的内容为： document.write(iframe src=/trojan.html width=0 height=0/iframe); 文件abc.js相当于在网站和网页木马之间建立了一个中转站，这个文件可以放在攻击者认为更加安全可靠且网站浏览者能够访问到的地方。此时正常页面中就完全是一个一般的Javascript脚本内容