快速解決iFrame漏洞問題 拒絕網站掛馬

當網站成為黑客熱愛的攻擊的目標，也成為散播惡意程序的跳板，企業蒙受的風險與損失隨之擴大，也會讓網站使用者受到波及。

目前Google開始在搜尋結果中加入提醒字符串，標示受駭的網站，對企業而言，更可能因此流失用戶。

如何在這波烽火中生存，最重要的是必須正視問題的嚴重性，在網站開發與維運階段提升安全意識。另外，也可藉由導入自動化工具的方法提升安全性，如果資安預算有限，至少找出企業能負荷的安全防護底線，保障企業網站與用戶的安全。

治標：監控網頁異動，立即回復

黑客有許多攻下網站的手法，但以修改網頁進行偷渡惡意程序的手法而言，最終必須修改網頁才能達到目的，因此監控網頁便是IT人員可以應變黑客攻擊的方法。

黑客修改網頁時，對於檔案的大小、網頁的最後修改時間都會造成影響，因此IT人員可以自行撰寫程序，比對網站最近一次修改檔案的大小或日期和在線檔案是否一致，一旦有出入，就代表有異常，這時就可以進一步檢視檔案是否有不明的iframe或JavaScript語法指向外部網站，藉此判定是否已經遭到黑客 攻擊。萬一遭到攻擊的話，則必須先做好證據保存的動作，再將網站復原成未入侵前的狀態。

市面上有針對網站的監控與復原動作提供自動化解決方案的產品，這類產品通常能做到實時化的監控與通報機制，當網站遭到竄改時，立即復原成原先頁 面，就能阻擋在網頁中植入程序代碼的攻擊方式，入侵的記錄也會保留住。網頁監控與復原產品通常也能保護檔案服務器上的檔案，如果黑客企圖刪除或更改文件時，系統便會實時復原。

這類產品的價格通常在數萬元到十幾萬元，以資安的產品而言相對較低，對於規模較小的企業較能負擔，但它能做便是保持網頁不被竄改更動，乍看之下成功的抵擋目前這波新興的黑客攻擊手法，然而它終究只是治標之道。

雖然黑客不能竄改網頁內容，但畢竟已經登堂入室，取得修改網頁的權限，這意味著黑客也能將數據帶走，或者不使用修改網頁程序代碼的方式，繞道透過SQL Injection的攻擊手法，將數據庫中的內容帶走。

因此不論企業自行撰寫程序或采用自動化產品來監控與復原網頁，都必須明白它的限制在於提供消極的解法，只保護住網頁，但黑客進攻的漏洞沒有找出來修補，攻擊仍會發生。

解析iFrame攻擊手法

對黑客而言，如何讓使用者毫無警覺，下載惡意程序到使用者的計算機，才能達到黑客之後的目的，例如竊取賬號、密碼或植入傀儡程序。

利用HTML語法中的iframe語法，即是一個極常見的手法。iframe設計的目的，是讓設計人員能在網頁中嵌入頁框，而頁框中可以加載另一個頁面，透過這種方式可以設計出更為彈性的網頁功能。

但iframe到黑客手中，就有了不一樣的玩法。只要在iframe屬性將寬與高設定為「0」時，被呼叫的頁面一樣會執行，但不會顯示在網頁上。這種宛如替網頁穿上隱身衣的作法，就會在使用者浏覽被駭網站時，神不知鬼不覺地執行藏在隱身頁面中的語法。

由於iframe手法太過盛行，而且具有明顯的辨識特征，於是就有變種的方式出現，利用JavaScript語法改寫呼叫手法，再混進網頁原有JavaScript中，增加發掘的難度。

一般而言，浏覽器如果設定適當的安全性等級，惡意程序在下載或執行時會出現警告訊息，但如果黑客利用安全漏洞，就有機會在不用任何詢問下安裝惡意程序。

比起自行偽造網站容易被人識破，黑客會挑選流量大或知名網站作為散播的源頭，成功率較高。黑客會嘗試由各種可能的管道入侵，例如網頁應用程序本身的缺陷或 是未更新的漏洞。Google強大的搜尋能力，更是助長黑客能取得更多沒有作好設定的網站，透過一些關鍵詞往往能查出系統信息或可能的弱點，而讓黑客可以 取得修改網頁的權限。

因此當企業發現網站被植入惡意程序時，已經是黑客攻擊手段的最後階段，它只是表面上最容易發現的跡象，事實上，系統或網站應用程序必然存在漏洞，讓黑客得以順籐摸瓜，進而修改網頁。