CSS掛馬及相應防范方法

用來制作網頁特效的CSS代碼，也可以用來掛馬。

隨著Web2.0的普及，各種網頁特效用得越來越多，這也給黑客一個可乘之機。他們發現，用來制作網頁特效的CSS代碼，也可以用來掛馬。而比較諷刺的是，CSS掛馬方式其實是從防范E掛馬的CSS代碼演變而來。

網站掛馬的手段最初非常單一，但是隨著Web2.0技術以及Blog、Wiki等廣泛的應用，掛馬也湧現出各種各樣的技術，其中CSS掛馬方式，可以說是Web2.0時代黑客的最愛。有許多非常著名的網站都被黑客用CSS掛馬入侵過。

建議大家在點擊陌生鏈接時，要多個心眼，大網站也是可能被掛馬的。大家在上網時，最好還是使用一些帶網頁木馬攔截功能的安全輔助工具。

黑客為什麼選擇CSS掛馬?

在Web1.0時代，使用E掛馬對於黑客而言，與其說是為了更好地實現木馬的隱藏，倒不如說是無可奈何的一個選擇。在簡單的HTML網頁和缺乏交互性的網站中，黑客可以利用的手段也非常有限，即使采取了復雜的偽裝，也很容易被識破，還不如E來得直接和有效。

但如今交互式的Web2.0網站越來越多，允許用戶設置與修改的博客、SNS社區等紛紛出現。這些互動性非常強的社區和博客中，往往會提供豐富的功能，並且會允許用戶使用CSS層疊樣式表來對網站的網頁進行自由的修改，這促使了CSS掛馬流行。

小百科：

CSS是層疊樣式表(CascadingStyleSheets)的英文縮寫。CSS最主要的目的是將文件的結構(用HTML或其他相關語言寫的)與文件的顯示分隔開來。這個分隔可以讓文件的可讀性得到加強、文件的結構更加靈活。

黑 客在利用CSS掛馬時，往往是借著網民對某些大網站的信任，將CSS惡意代碼掛到博客或者其他支持CSS的網頁中，當網民在訪問該網頁時惡意代碼就會執 行。這就如同你去一家知名且證照齊全的大醫院看病，你非常信任醫院，但是你所看的門診卻已經被庸醫外包了下來，並且打著醫院的名義利用你的信任成功欺騙了 你。但是當你事後去找人算賬時，醫院此時也往往一臉無辜。對於安全工程師而言，CSS掛馬的排查是必備常識。

CSS掛馬攻防實錄

攻CSS掛馬方式較多，但主流的方式是通過有漏洞的博客或者SNS社交網站系統，將惡意的CSS代碼寫入支持CSS功能的個性化頁面中。下面我們以典型的CSS掛馬方式為例進行講解。

方式1：

Body

“background-image”在CSS中的主要功能是用來定義頁面的背景圖片。這是最典型的CSS掛馬方式，這段惡意代碼主要是通過“background-image”配合t代碼讓網頁木馬悄悄地在用戶的電腦中運行。

那如何將這段CSS惡意代碼掛到正常的網頁中去呢?黑客可以將生成好的網頁木馬放到自己指定的位置，然後將該段惡意代碼寫入掛馬網站的網頁中，或者掛馬網頁所調用的CSS文件中。

小百科：

使用Body對象元素，主要是為了讓對象不再改變整個網頁文檔的內容，通過Body對象的控制，可以將內容或者效果控制在指定的大小內，如同使用DIV對象那樣精確地設置大小。

方式2：

Body