安全视角:从伤寒病状看网页挂马

"伤寒"是一种传染性极强的疾病,有接触就有可能感染。Web应用系统由于采用标准的协议,如果Web服务器被挂马,当访问者访问服务器时就如同接触到了伤寒病患者一样会被感染并且自身的信息会被窃取,数据会被破坏。

参加活动遭遇木马

经常上网的朋友会发现,有时候有些链接点击进去后,防病毒软件会报警,提示有病毒/木马存在。某银行科技处处长霍女士,正在为这样的一起客户投诉头疼不已:某网银用户收到一封网银活动通知邮件,点击后居然发现被防病毒软件报出存在木马。

这封邮件内容是银行这段时间正在搞的一个小调查活动,点击"参加活动"按钮后,防病毒软件马上发出报警。

经专业安全公司专家分析后得知,这是一封伪造的活动邮件,骇客伪造了"参加活动"按钮后的URL链接,用户点击后,虽然会进入活动页面,但同时也会被链接到一个恶意站点下载木马,这就是防病毒软件报警的原因。而造成这种现象的原因是:该银行的网站页面编码存在缺陷。考虑到银行的业务连续性要求,霍女士按照安全专家的建议购买了安全防护产品,并迅速部署上线,用以屏蔽此类攻击行为。

为什么网页链接会导致木马病毒植入呢?这有如下几种可能:

1?郾网站所有者故意在页面嵌入恶意代码,常见于私人小站。为了牟取私利,有些站长故意在网站页面中嵌入恶意代码,以窃取访问者的信息。一般来说,企业用户不会存在这种情况。

2?郾骇客攻击网站获取权限后,在正常页面中添加恶意代码,这也就是常提到的XSS(跨站脚本)攻击。

诊断XSS攻击

如何判断自己是否已经遭受XSS攻击呢?和其他常见攻击行为一样在网上也有许多进行XSS攻击的免费工具,利用这些软件的骇客很有可能并不知道该如何清理自己留下的系统日志,从对日志的分析中可以很容易地看到是否有XSS攻击行为发生。还有一种更直接的方法就是检查页面源代码,看是否有不相干URL等字符串出现,如某页面源文件中存在与页面功能无关的代码,就很有可能是发生了XSS攻击。

由于XSS攻击的直接受害者往往并不是网站所有者,而是访问受攻击网站的普通用户。所以,经常会出现普通用户发现网站已经被骇客攻击,而网站的管理人员仍一无所知的情况。对于一些依靠网站开展业务的机构(如金融机构等)来说,做好前期检查服务,是一项非常重要的工作。

XSS攻击发生后,该如何应对呢?首先当然是检查被攻击页面,清除恶意代码,然后再考虑以后的防御。和大部分的Web威胁行为一样,XSS攻击发生的原因是由于页面文件编写得不完备,所以用户也可以通过部署独立安全产品或修改代码级的页面文件来避免。但考虑到代码修改的复杂性和局限性,这种方法对于XSS防御来说不是最佳选择。应当选择部署那些胜任应用层威胁防护的安全产品,在XSS防御的实际应用中,入侵防御产品也有非常广泛的运用。

被挂马的网站就像伤寒症患者,如果不小心发生接触(点击链接),就有染病(被种上木马)的可能。中医认为,伤寒六经病的总治疗原则是祛除外邪,扶助正气。所以被挂马网站的解决之道也应如此:驱除外邪(清理被挂马页面),扶助正气(以增加安全设备/代码评估服务/代码修补等行为来提升网站的内在防御力)。