找回密码注册

QQ登录

只需一步,快速开始

 
 
 
 
查看: 2911|回复: 13

[原创共享] [网络安全教学贴]教刀友们一个防常见网页木马的方法

[复制链接]
  • TA的每日心情
    开心
    2016-11-11 21:16
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2007-3-1 18:23 | 显示全部楼层 |阅读模式
    现在木马传播最多而且最快捷的方式就是通过网页,到目前为止,我所知道的IE未公布的漏洞就至少有三个,而且通过这三个漏洞,再加上iframe标签,就能非常容易的让浏览者中后门。
    当然,除了IE漏洞以外,很多网页木马还利用了第三方软件,比如前段时间QQ的ActiveX的一个漏洞,也可以被恶意攻击者利用,也是通过在WEB页面中插入iframe,同时诱使用户访问。

    对于这种最常见的iframe标签中插入木马有两种防御手段和一种检查方法:

    防御手段一、禁用IE中的iframe功能
    打开你的IE,然后在功能菜单中依次选择:工具→Internet选项→安全→自定义级别,然后在这里找到“在IFRAME中加载程序和文件”,在下面选择禁用
    这种方法治本,但是也只是从一定程度上来说,因为还有很多种利用iframe下马的方法可以绕过这种限制。

    防御手段二、使用非IE内核心浏览器
    有很多朋友问过我,使用Maxthon这样的浏览器是否能避免我所说到的那些网页木马,这里我需要说明,Maxthon、MyIE这些浏览器都是使用了IE的内核,所以说,使用它,和使用IE没有两样(只是界面上不太一样)。
    这里推荐大家使用FireFox和Opera,比较推荐Opera,它的速度比FireFox快,不过FireFox扩展性很好,有N多的插件可以安装,使得FireFox变得非常强大。

    检查方法:
    对于别人给你的连接,如果你怀疑该连接中存在有我所说的那种iframe标记的网页木马,可以在浏览网页前使用以下方法检查(以刀友论坛的主页为例):
    当我们正常访问刀友论坛主页时是在IE中输入该地址并回车:http://www.knifriend.com/bbs/index.php
    但是,为了检查该页是否含有危险代码,我们就要这样输入:view-source:http://www.knifriend.com/bbs/index.php
    view-source命令相信很多朋友都用过,输入view-source:http://www.knifriend.com/bbs/index.php的目的是使用系统默认设置的编辑器来查看www.knifriend.com站点的bbs目录中的index.php的源代码(当然,这里所说的源代码是经过Server端解析后的HTML代码,而不是真正的PHP代码,否则黑站将会更简单),在代码中,搜索关键字“iframe”(没有引号),如果发现有类似这样的语句:<iframe src="http://www.xxx.com/1/"></iframe>就应该要小心,如果iframe标签这样写:<iframe src="http://www.xxx.com/2/" width=0 height=0></iframe>,这就基本上可以断定站点被插了木马,因为标记width=0和height=0就是让插入的frame不在网页上显示出来,显然是别有用心的,这时,大家最好就不要再访问该站点。


    这里,最为推荐使用FireFox或Opera浏览器,这将会大大减小上网中后门的几率,如果可以的话,最好使用非windows系统。
    我不想偏激的喊出达到微软的口号,因为我还是很喜欢windows的,尤其是她的构架,无论是系统级还是网络级,她都做的很好,但是我反对微软的垄断性捆绑行为。微软的上亿行代码已经被法院拿去分析了,也许有一天他们会发现把IE从windows中剥离的方法。

    [ 本帖最后由 xki 于 2007-3-1 18:27 编辑 ]

    该用户从未签到

    发表于 2007-3-1 18:29 | 显示全部楼层

    http://www.klmding.cn/

    非常感谢!!!~~~

    马上去做些修改!

    该用户从未签到

    发表于 2007-3-1 19:05 | 显示全部楼层
    已经进行了修改,昨天刚下载了FireFox,但是发现工商银行的网银控件不能安装,估计此类问题还有不少,还有些该软件设计方面不太适应,所以很多时候还是不能完全放弃windows的ie~~谢谢楼主指教~
  • TA的每日心情
    慵懒
    2018-6-11 23:28
  • 签到天数: 150 天

    [LV.7]常住居民III

    发表于 2007-3-1 19:15 | 显示全部楼层

    收藏并研习之

    该用户从未签到

    发表于 2007-3-1 19:21 | 显示全部楼层
    我按照第一点指示做了更改,谢了~~

    该用户从未签到

    发表于 2007-3-1 20:13 | 显示全部楼层

    http://www.yyxfm.com.cn/

    楼主的水平还是相信的,但是用maxthon实在是习惯了~~

    该用户从未签到

    发表于 2007-3-1 20:16 | 显示全部楼层
    去试试看 感谢楼主

    该用户从未签到

    发表于 2007-3-1 22:00 | 显示全部楼层

    http://www.heibor.com.cn/

    view-source 在XP SP2 和 2003 SP1后就没有此命令了...
    只能按右键 - 察看源文件.

    iframe 屏蔽后有些网页无法显示.确实会造成不便..
      ..防毒,目前用Macfee . 自定义策略 阻止侵害很有效
  • TA的每日心情
    开心
    2016-11-11 21:16
  • 签到天数: 2 天

    [LV.1]初来乍到

     楼主| 发表于 2007-3-1 22:29 | 显示全部楼层

    http://www.hseonly.cn/

    原帖由 BugErr 于 2007-3-1 22:00 发表
    view-source 在XP SP2 和 2003 SP1后就没有此命令了...
    只能按右键 - 察看源文件.

    iframe 屏蔽后有些网页无法显示.确实会造成不便..
      ..防毒,目前用Macfee . 自定义策略 阻止侵害很有效

    view-source是一个HTTP的标准,和系统无关的,而且我使用的就是2003 SP1,没有问题的
    可能是在输入过程中有错误吧,有个冒号的view-source:http://www.knifriend.com/bbs/index.php

    该用户从未签到

    发表于 2007-3-1 22:32 | 显示全部楼层
    我一直用mozille6.0绿色版上非健康网站~~~

    该用户从未签到

    发表于 2007-3-1 22:45 | 显示全部楼层

    http://www.heibor.com.cn/

    原帖由 xki 于 2007-3-1 22:29 发表

    view-source是一个HTTP的标准,和系统无关的,而且我使用的就是2003 SP1,没有问题的
    可能是在输入过程中有错误吧,有个冒号的view-source:http://www.knifriend.com/bbs/index.php[/co ...




    ..我也是用 2003 SP1 .
    以前在98下可以使用.
    后来XP SP2 和 现在的 2K3 SP1 都无法显示  ...
    未命名.GIF

    该用户从未签到

    发表于 2007-3-2 01:55 | 显示全部楼层
    用opera, 按F12快捷键选择对java, java script, 和各种插件的使用。平时全部关闭,需要的话再开启刷新。
  • TA的每日心情
    开心
    2016-11-11 21:16
  • 签到天数: 2 天

    [LV.1]初来乍到

     楼主| 发表于 2007-3-2 09:30 | 显示全部楼层

    http://www.delori.net.cn/

    原帖由 BugErr 于 2007-3-1 22:45 发表




    ..我也是用 2003 SP1 .
    以前在98下可以使用.
    后来XP SP2 和 现在的 2K3 SP1 都无法显示  ...

    查了KB,看来是这样的
    但功能限制是在IE上实现的,MS果然垄断的够恶心
    因为我把IE卸掉了一部分,没有办法试,我看看有没有在IE下的什么解决办法

    该用户从未签到

    发表于 2007-3-14 09:35 | 显示全部楼层
    再大多数网站禁用ActiveX控件就安全得多了

    [ 本帖最后由 LOCKDOWN 于 2007-3-14 09:43 编辑 ]

    none

    none
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

       
    快速回复 返回顶部 返回列表