萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 快速解決iFrame漏洞問題 拒絕網站掛馬

快速解決iFrame漏洞問題 拒絕網站掛馬

當網站成為黑客熱愛的攻擊的目標,也成為散播惡意程序的跳板,企業蒙受的風險與損失隨之擴大,也會讓網站使用者受到波及。

目前Google開始在搜尋結果中加入提醒字符串,標示受駭的網站,對企業而言,更可能因此流失用戶。

如何在這波烽火中生存,最重要的是必須正視問題的嚴重性,在網站開發與維運階段提升安全意識。另外,也可藉由導入自動化工具的方法提升安全性,如果資安預算有限,至少找出企業能負荷的安全防護底線,保障企業網站與用戶的安全。

治標:監控網頁異動,立即回復

黑客有許多攻下網站的手法,但以修改網頁進行偷渡惡意程序的手法而言,最終必須修改網頁才能達到目的,因此監控網頁便是IT人員可以應變黑客攻擊的方法。

黑客修改網頁時,對於檔案的大小、網頁的最後修改時間都會造成影響,因此IT人員可以自行撰寫程序,比對網站最近一次修改檔案的大小或日期和在線檔案是否一致,一旦有出入,就代表有異常,這時就可以進一步檢視檔案是否有不明的iframe或JavaScript語法指向外部網站,藉此判定是否已經遭到黑客 攻擊。萬一遭到攻擊的話,則必須先做好證據保存的動作,再將網站復原成未入侵前的狀態。

市面上有針對網站的監控與復原動作提供自動化解決方案的產品,這類產品通常能做到實時化的監控與通報機制,當網站遭到竄改時,立即復原成原先頁 面,就能阻擋在網頁中植入程序代碼的攻擊方式,入侵的記錄也會保留住。網頁監控與復原產品通常也能保護檔案服務器上的檔案,如果黑客企圖刪除或更改文件時,系統便會實時復原。

這類產品的價格通常在數萬元到十幾萬元,以資安的產品而言相對較低,對於規模較小的企業較能負擔,但它能做便是保持網頁不被竄改更動,乍看之下成功的抵擋目前這波新興的黑客攻擊手法,然而它終究只是治標之道。

雖然黑客不能竄改網頁內容,但畢竟已經登堂入室,取得修改網頁的權限,這意味著黑客也能將數據帶走,或者不使用修改網頁程序代碼的方式,繞道透過SQL Injection的攻擊手法,將數據庫中的內容帶走。

因此不論企業自行撰寫程序或采用自動化產品來監控與復原網頁,都必須明白它的限制在於提供消極的解法,只保護住網頁,但黑客進攻的漏洞沒有找出來修補,攻擊仍會發生。

解析iFrame攻擊手法

對黑客而言,如何讓使用者毫無警覺,下載惡意程序到使用者的計算機,才能達到黑客之後的目的,例如竊取賬號、密碼或植入傀儡程序。

利用HTML語法中的iframe語法,即是一個極常見的手法。iframe設計的目的,是讓設計人員能在網頁中嵌入頁框,而頁框中可以加載另一個頁面,透過這種方式可以設計出更為彈性的網頁功能。

但iframe到黑客手中,就有了不一樣的玩法。只要在iframe屬性將寬與高設定為「0」時,被呼叫的頁面一樣會執行,但不會顯示在網頁上。這種宛如替網頁穿上隱身衣的作法,就會在使用者浏覽被駭網站時,神不知鬼不覺地執行藏在隱身頁面中的語法。

由於iframe手法太過盛行,而且具有明顯的辨識特征,於是就有變種的方式出現,利用JavaScript語法改寫呼叫手法,再混進網頁原有JavaScript中,增加發掘的難度。

一般而言,浏覽器如果設定適當的安全性等級,惡意程序在下載或執行時會出現警告訊息,但如果黑客利用安全漏洞,就有機會在不用任何詢問下安裝惡意程序。

比起自行偽造網站容易被人識破,黑客會挑選流量大或知名網站作為散播的源頭,成功率較高。黑客會嘗試由各種可能的管道入侵,例如網頁應用程序本身的缺陷或 是未更新的漏洞。Google強大的搜尋能力,更是助長黑客能取得更多沒有作好設定的網站,透過一些關鍵詞往往能查出系統信息或可能的弱點,而讓黑客可以 取得修改網頁的權限。

因此當企業發現網站被植入惡意程序時,已經是黑客攻擊手段的最後階段,它只是表面上最容易發現的跡象,事實上,系統或網站應用程序必然存在漏洞,讓黑客得以順籐摸瓜,進而修改網頁。

copyright © 萬盛學電腦網 all rights reserved