恶意代码嵌入网步页骤.docVIP

实验：恶意代码嵌入网页 实验目的：通过实验了解和掌握 IE Object Data 远程运行恶意代码漏洞利用使用方法，了解 IE 的安全级别并不是万能的；灵活运用类似方法对系统安全性进行有效考察和 分析、并能准确地采取相应措施加以解决。 实验准备：安装 Windows 操作系统,IE浏览器，Internet Information Server(IIS)。配置 一个 Web 服务器。 实验原理： 漏洞描述：这是微软HTML Object标签的一个漏洞。Object 标签主要用来 把 ActiveX 插入到 HTML 页面里，由于加载程序没有根据描述远程 Object 数据 位置的数检查加载文件的性质，因此和其他文件或“安全”的 HTM 内容一样， WEB 页面里的木马会悄悄地执行，对于 DATA 所标记的 URL,IE 会根据服务器返 回的 http 头返回的是 application/hta 等，那么该文件就能够执行，而不管 IE 的安全级别多高。 知道了漏洞的原理，我们应该知道危害之在了，攻击者可以利用网页、邮 件、新闻组、论坛进行攻击，IE 的用户数量也是勿庸置疑的，可见传播范围， 途径是非常之多的，多数用户记得给服务器打补丁，利用 Webdav、DCOM RPC, 但是往往会忽视 IE 的查漏补缺，潜在威胁也很大，也许有人要说，那也只是几 个