完全解析网页后门和挂马

4、网络钓鱼挂马（也称为伪装调用挂马）

网络中最常见的欺骗手段，黑客们利用人们的猎奇、贪心等心理伪装构造一个链接或者一个网页，利用社会工程学欺骗方法，引诱点击，当用户打开一个看似正常的页面时，网页代码随之运行，隐蔽性极高。这种方式往往和欺骗用户输入某些个人隐私信息，然后窃取个人隐私相关联。比如攻击者模仿腾讯公司设计了一个获取QQ币的页面，引诱输入QQ好和密码，如图4。（图4）



等用户输入完提交后，就把这些信息发送到攻击者指定的地方，如图5。（图5）



5、伪装挂马

高级欺骗，黑客利用IE或者Fixfox浏览器的设计缺陷制造的一种高级欺骗技术，当用户访问木马页面时地址栏显示www.sina.com或者security.ctocio.com.cn等用户信任地址，其实却打开了被挂马的页面，从而实现欺骗，示例代码如：

上面的代码的效果，在貌似http://safe.it168.com的链接如图6上点击却打开了http://www.hacker.com.cn，如图7。（图6）（图7）





总结：上述的挂马方式都是利用了系统的漏洞，并且挂马的代码不用攻击者编写，都是实现了工具化、傻瓜化。技术门槛比较低，因此危害也特别大。

三、网页漏洞的寻找方法

网页的漏洞主要有注入漏洞、跨站漏洞、旁注漏洞、上传漏洞、暴库漏洞和程序漏洞等等。针对这么多的漏洞威胁，网站管理员要对自己的网站进行安全检测，然后进行安全设置或者代码改写。那如何来检测网站存在的漏洞呢？其实，很多攻击者都是通过一些黑客工具来检测网站的漏洞然后实施攻击的。那么网站的管理员就可以利用这些工具对网站进行安全检测，看有没有上述漏洞，笔者就不一一演示了。下面就列举一个当前比较流行的eWEBEditor在线HTML编辑器上传漏洞做个演示和分析。

1、网站入侵分析

eWEBEditor是一个在线的HTML编辑器，很多网站都集成这个编辑器，以方便发布信息。低版本的eWEBEditor在线HTML编辑器，存在者上传漏洞，黑客利用这点得到WEBSHELL（网页管理权限）后，修改了网站，进行了挂马操作。

其原理是：eWEBEditor的默认管理员登录页面没有更改，而且默认的用户名和密码都没有更改。攻击者登陆eWEBEditor后，添加一种新的样式类型，然后设置上传文件的类型，比如加入asp文件类型，就可以上传一个网页木马了。（图8）



2、判断分析网页漏洞

(1)攻击者判断网站是否采用了eWEBEditor的方法一般都是通过浏览网站查看相关的页面或者通过搜索引擎搜索类似"ewebeditor.asp?id="语句，只要类似的语句存在，就能判断网站确实使用了WEB编辑器。

(2)eWEBEditor编辑器可能被黑客利用的安全漏洞：

a.管理员未对数据库的路径和名称进行修改，导致黑客可以利用编辑器默认路径直接对网站数据库进行下载。

b.管理员未对编辑器的后台管理路径进行修改导致黑客可以通过数据库获得的用户名和密码进行登陆或者直接输入默认的用户名和密码，直接进入编辑器的后台。

c.该WEB编辑器上传程序存在安全漏洞。

上一页  [1] [2] [3] 下一页