萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> 關於CSS掛馬及相應防范方法

關於CSS掛馬及相應防范方法

  黑客們發現發現,用來制作網頁特效的CSS代碼,也可以用來掛馬。

  隨著Web2.0的普及,各種網頁特效用得越來越多,這也給黑客一個可乘之機。他們發現,用來制作網頁特效的CSS代碼,也可以用來掛馬。而比較諷刺的是,CSS掛馬方式其實是從防范E掛馬的CSS代碼演變而來。

  安天實驗室阿楠:安全工程師,從事病毒分析多年。

  網站掛馬的手段最初非常單一,但是隨著Web2.0技術以及Blog、Wiki等廣泛的應用,掛馬也湧現出各種各樣的技術,其中CSS掛馬方式,可以說是Web2.0時代黑客的最愛。有許多非常著名的網站都被黑客用CSS掛馬入侵過。

  在我印象中,記憶最深刻的一次是百度空間CSS掛馬。當時,百度空間推出沒有多久,就有許多百度用戶收到了類似“哈,節日快樂呀!熱烈慶祝2008,心情好好,記住要想我!http://hi.baidu.com/XXXXX”的站內消息。

  由於網址是百度空間的網址,許多用戶認為不會存在安全問題,加上又有可能是自己朋友發來的,因此會毫不猶豫地點擊進入。但是進入指定的網址後,用戶就會感染蠕蟲病毒,並繼續傳播。

  由於蠕蟲擴散非常嚴重,最終導致百度空間不得不發布官方聲明提醒用戶,並且大費周折地在服務器中清除蠕蟲的惡意代碼。那一次的掛馬事件利用的就是百度空間CSS模板功能,通過變形的expression在CSS代碼中動態執行腳本,讓指定的遠程惡意代碼文件在後台悄悄運行並發送大量偽造信息。

  我建議大家在點擊陌生鏈接時,要多個心眼,大網站也是可能被掛馬的。大家在上網時,最好還是使用一些帶網頁木馬攔截功能的安全輔助工具。

  黑客為什麼選擇CSS掛馬?

  在Web1.0時代,使用E掛馬對於黑客而言,與其說是為了更好地實現木馬的隱藏,倒不如說是無可奈何的一個選擇。在簡單的HTML網頁和缺乏交互性的網站中,黑客可以利用的手段也非常有限,即使采取了復雜的偽裝,也很容易被識破,還不如E來得直接和有效。

  但如今交互式的Web2.0網站越來越多,允許用戶設置與修改的博客、SNS社區等紛紛出現。這些互動性非常強的社區和博客中,往往會提供豐富的功能,並且會允許用戶使用CSS層疊樣式表來對網站的網頁進行自由的修改,這促使了CSS掛馬流行。

  小百科:

  CSS是層疊樣式表(CascadingStyleSheets)的英文縮寫。CSS最主要的目的是將文件的結構(用HTML或其他相關語言寫的)與文件的顯示分隔開來。這個分隔可以讓文件的可讀性得到加強、文件的結構更加靈活。

copyright © 萬盛學電腦網 all rights reserved