吳 凡

“傷寒”是一種傳染性極強的疾病,有接觸就有可能感染。Web應用系統(tǒng)由于采用標準的協(xié)議,如果Web服務器被掛馬,當訪問者訪問服務器時就如同接觸到了傷寒病患者一樣會被感染并且自身的信息會被竊取,數(shù)據(jù)會被破壞。

參加活動遭遇木馬

經(jīng)常上網(wǎng)的朋友會發(fā)現(xiàn),有時候有些鏈接點擊進去后,防病毒軟件會報警,提示有病毒/木馬存在。某銀行科技處處長霍女士,正在為這樣的一起客戶投訴頭疼不已:某網(wǎng)銀用戶收到一封網(wǎng)銀活動通知郵件,點擊后居然發(fā)現(xiàn)被防病毒軟件報出存在木馬。

這封郵件內(nèi)容是銀行這段時間正在搞的一個小調(diào)查活動,點擊“參加活動”按鈕后,防病毒軟件馬上發(fā)出報警。

經(jīng)專業(yè)安全公司專家分析后得知,這是一封偽造的活動郵件,駭客偽造了“參加活動”按鈕后的URL鏈接,用戶點擊后,雖然會進入活動頁面,但同時也會被鏈接到一個惡意站點下載木馬,這就是防病毒軟件報警的原因。而造成這種現(xiàn)象的原因是:該銀行的網(wǎng)站頁面編碼存在缺陷?？紤]到銀行的業(yè)務連續(xù)性要求,霍女士按照安全專家的建議購買了安全防護產(chǎn)品,并迅速部署上線,用以屏蔽此類攻擊行為。

為什么網(wǎng)頁鏈接會導致木馬病毒植入呢?這有如下幾種可能:

1.網(wǎng)站所有者故意在頁面嵌入惡意代碼,常見于私人小站。為了牟取私利,有些站長故意在網(wǎng)站頁面中嵌入惡意代碼,以竊取訪問者的信息。一般來說,企業(yè)用戶不會存在這種情況。

2.駭客攻擊網(wǎng)站獲取權限后,在正常頁面中添加惡意代碼,這也就是常提到的XSS(跨站腳本)攻擊。

診斷XSS攻擊

如何判斷自己是否已經(jīng)遭受XSS攻擊呢?和其他常見攻擊行為一樣在網(wǎng)上也有許多進行XSS攻擊的免費工具,利用這些軟件的駭客很有可能并不知道該如何清理自己留下的系統(tǒng)日志,從對日志的分析中可以很容易地看到是否有XSS攻擊行為發(fā)生。還有一種更直接的方法就是檢查頁面源代碼,看是否有不相干URL等字符串出現(xiàn),如某頁面源文件中存在與頁面功能無關的代碼,就很有可能是發(fā)生了XSS攻擊。

由于XSS攻擊的直接受害者往往并不是網(wǎng)站所有者,而是訪問受攻擊網(wǎng)站的普通用戶。所以,經(jīng)常會出現(xiàn)普通用戶發(fā)現(xiàn)網(wǎng)站已經(jīng)被駭客攻擊,而網(wǎng)站的管理人員仍一無所知的情況。對于一些依靠網(wǎng)站開展業(yè)務的機構(如金融機構等)來說,做好前期檢查服務,是一項非常重要的工作。

XSS攻擊發(fā)生后,該如何應對呢?首先當然是檢查被攻擊頁面,清除惡意代碼,然后再考慮以后的防御。和大部分的Web威脅行為一樣,XSS攻擊發(fā)生的原因是由于頁面文件編寫得不完備,所以用戶也可以通過部署獨立安全產(chǎn)品或修改代碼級的頁面文件來避免。但考慮到代碼修改的復雜性和局限性,這種方法對于XSS防御來說不是最佳選擇。應當選擇部署那些勝任應用層威脅防護的安全產(chǎn)品,在XSS防御的實際應用中,入侵防御產(chǎn)品也有非常廣泛的運用。

被掛馬的網(wǎng)站就像傷寒癥患者,如果不小心發(fā)生接觸(點擊鏈接),就有染病(被種上木馬)的可能。中醫(yī)認為,傷寒六經(jīng)病的總治療原則是祛除外邪,扶助正氣。所以被掛馬網(wǎng)站的解決之道也應如此:驅除外邪(清理被掛馬頁面),扶助正氣(以增加安全設備/代碼評估服務/代碼修補等行為來提升網(wǎng)站的內(nèi)在防御力)。