登录
代码可以嵌入到企业网站的论坛,电子邮箱等登录页面。这样做的明显好处是:即使部分用户抱怨说有问题,网络安全工程师自己打开时仍然发现不了任何异常,或许会认为客户又在无故抱怨。
Ajax网页木马扩展篇(纯理论)
随着网页木马越来越隐形化,大家挂的马越来越多,慢慢的,形成了一定的规模,就会造成一些管理上的问题。因为即使一个木马再好,一旦使用的多了,被查杀的可能性仍然会大大的增加。微软的IE漏洞仍然在继续增加,有时候想把自己所有的网页木马(不同的网站)全都换一下,还要一个一个的找自己的后门,一个一个的改。这样做,很不符合程序的可扩展性,一个好的程序,应该做到在不更改或较少的更改已经写好的代码,就可以增加扩展功能。所以我们的代码仍然需要改进。
需要说明下,细心的读者应该注意到,文章给出的代码虽然能够使用,但是成功率很低,因为我故意使用了一个很老版本的网页木马在不断的加工,最终目的还是为了让大家理解web安全的重要性。而本篇的代码一旦给出,会有很强的攻击性,所以为了保守起见,只是提供一下思路。
让用户打开网页时,并不是把木马嵌入到当前网页里,而是把用户的请求交给另一个网站的页面处理。从另一个网站的页面返回真正的网页木马,然后执行,最后只要把这个页面管理起来。Javascript只能访问本域下的资源,而不能跨域访问。也就是说,www.microsoft.com站点中的Javascript只能访问www.microsoft.com站点下的资源,而不能跨域访问www.sun.com站点中的资源。解决的方式是使用代理,Ajax访问有本域下的服务端脚本文件(asp、jsp、php等),再由服务端脚本文件访问其他站点下的资源,然后返回给Ajax处理。详细解决方案参照文章《Use a Web Proxy for Cross-Domain XMLHttpRequest Calls》地址在:“http://developer.yahoo.com/javascript/howto-proxy.html”。
防御篇
防御这段代码其实很简单,我的虚拟机的系统没有打相应的补丁,安装的系统是默认的番茄花园某个版本的系统。本机已经打了IE补丁(别问我具体是什么补丁,反正都应该打),打开这个页面的结果会是:
 |
看起来使用了Ajax的网页木马花样百出,想尽办法在用户和杀毒软件之间玩捉迷藏,我们有没有什么办法可以一劳永逸的防止网页木马呢?曾经有一句话叫做“只有拔下插头的计算机才是安全的”,而凯文•米特尼克回答说:“事实上你可以说服用户把插头接上”,由此可见没有绝对的安全。而我们能做的是尽可能的安全(注意不是尽可能的变态)。
建议的防御思路是:首先假设系统底层已经被黑客入侵,然后采取相应一些对策,再假设只是web服务被入侵,黑客仅仅具备web服务的控制权限,然后采取一些相应对策,就这样层层假设,我们的防御体系就会慢慢健全。
按照以上思路,网页木马的防御应该是:假设我们已经浏览了网页木马,浏览器正在后台默默的下载木马服务端,下载完成后就要把木马复制到启动项,或者就要立刻执行。好的,想办法拦截,不允许复制和执行。
1、首先修改启动项目录的权限为管理员才能对文件进行写操作。
2、在桌面上建立浏览器的快捷方式,在快捷方式上点鼠标右键,选择属性>高级>勾选“以其他身份运行”。
3、建立一个新的用户,用户名为“q”,密码为“q”,默认加入“users用户组”。因为这是“以其他身份运行”后,再次打开会提示输入用户名密码,所以简单些好输入。
4、修改安全策略,不允许新建的用户登录系统。
这样,每次我们打开这个浏览器快捷方式时,是以users组的身份执行的,而木马是通过浏览器执行的,所以木马执行的时候也只有users组权限。没有系统权限,木马还能做什么?系统会立刻提示无权限执行,然后可怜的木马就此“失蹄”了。这样做的另一好处是可以阻止流氓软件自动安装,凡是要给浏览器下毒的,一律坑杀。坏处是不能立刻自己安装想要使用的插件,如果必须要安装一些可信任的插件,可以从“开始”菜单里找到浏览器重新打开页面安装。
| 第1页:破解网页木马加密篇 | 第2页:破解网页木马解密篇 |
| 第3页:改良网页木马篇 | 第4页:Ajax网页木马深入篇 |
| 第5页:Ajax网页木马代码 | 第6页:Ajax网页木马防御篇 |
