跟着Web2.0的普及,各種網頁殊效用得越來越多,這也給***一個可乘之機。他們發現,用來製作網頁殊效的CSS代碼,也可以用來掛馬。而比較諷刺的是,CSS掛馬方式實在是從防範E掛馬的CSS代碼演變而來。
安天實驗室阿楠:安全工程師,從事病毒分析多年。
網站掛馬的手段最初非常單一,但是跟着Web2.0技術以及Blog、Wiki等廣泛的應用,掛馬也涌現出各種各樣的技術,其中CSS掛馬方式,可以說是Web2.0時代***的最愛。有很多非常知名的網站都被***用CSS掛馬***過。
在我印象中,記憶最深刻的一次是百度空間CSS掛馬。當時,百度空間推出沒有多久,就有很多百度用戶收到了類似“哈,節日快樂呀!強烈熱鬧慶祝2008,心情好好,記住要想我!http://hi.baidu.com/XXXXX”的站內動靜。
因爲網址是百度空間的網址,很多用戶以爲不會存在安全題目,加上又有可能是自己朋友發來的,因此會絕不猶豫地點擊進入。但是進入指定的網址後,用戶就會感染蠕蟲病毒,並繼承傳播。
因爲蠕蟲擴散非常嚴峻,終極導致百度空間不得不發佈官方聲明提醒用戶,並且大費周折地在服務器中清除蠕蟲的惡意代碼。那一次的掛馬事件利用的就是百度空間CSS模板功能,通過變形的expression在CSS代碼中動態執行腳本,讓指定的遠程惡意代碼文件在後臺靜靜運行併發送大量僞造信息。
我建議大家在點擊目生鏈接時,要多個心眼,大網站也是可能被掛馬的。大家在上網時,最好仍是使用一些帶網頁***攔截功能的安全輔助工具。
***爲什麼選擇CSS掛馬?
在Web1.0時代,使用E掛馬對於***而言,與其說是爲了更好地實現***的躲藏,倒不如說是無可奈何的一個選擇。在簡樸的HTML網頁和缺乏交互性的網站中,***可以利用的手段也非常有限,即使採取了複雜的僞裝,也很輕易被識破,還不如E來得直接和有效。
但如今交互式的Web2.0網站越來越多,答應用戶設置與修改的博客、SNS社區等紛紛泛起。這些互動性非常強的社區和博客中,往往會提供豐碩的功能,並且會答應用戶使用CSS層疊樣式表來對網站的網頁進行自由的修改,這促使了CSS掛馬流行。
文章源自:烈火網,原文:http://www.veryhuo.com/a/view/27040.html