国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動安全 安全管理 應(yīng)用案例網(wǎng)絡(luò)威脅 系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁 > 信息安全 > 網(wǎng)絡(luò)威脅 >

新型Web劫持手藝現(xiàn)身 專攻搜刮引擎

時間:2013-08-21 23:19來源:TuZhiJiaMi企業(yè)信息安全專家 點擊:
近期,瑞星互聯(lián)網(wǎng)攻防嘗試室截獲了一例操縱script腳本進行Web劫持的報復(fù)打擊案例,在該案例中,黑客操縱一批新聞頁面重置了搜刮引擎頁面,并將搜刮成果替代為本身建造的假頁面,以達(dá)到
Tags網(wǎng)絡(luò)威脅(394)Web(532)搜索引擎(12)劫持技術(shù)(1)  

  近期,瑞星互聯(lián)網(wǎng)攻防嘗試室截獲了一例操縱script腳本進行Web劫持的報復(fù)打擊案例,在該案例中,黑客操縱一批新聞頁面重置了搜刮引擎頁面,并將搜刮成果替代為本身建造的假頁面,以達(dá)到歹意奉行的目標(biāo)。瑞星安然專家暗示,這類Web劫持在國內(nèi)尚屬首例,同時也很是危險,用戶略不寄望便可能進進黑客建造的垂釣頁面,從而被騙取財帛及隱私信息。是以,廣大年夜用戶在上彀時應(yīng)隨時保持警戒,一旦發(fā)現(xiàn)頁面內(nèi)容呈現(xiàn)異常,應(yīng)頓時查對地點頁面的網(wǎng)址,以避免被騙被騙。

  瑞星安然專家指出,該類新型Web劫持是操縱script腳本實現(xiàn)的。在已知的案例中,黑客進侵了某處所門戶網(wǎng)站,竄改了該網(wǎng)站的新聞頁面,并向這些頁面植進本身的告白、新聞及歹意代碼。一旦用戶從搜刮成果頁面點擊進進被竄悔改的新聞頁面,script腳本就會用假頁面置換原搜刮成果頁面。因為該黑客利用了與原搜刮引擎極其近似的域名,并禁止瀏覽器的撤退撤退功能退回原頁面,所以一般用戶很難發(fā)覺本身打開的網(wǎng)站已被調(diào)包了。

  圖1:原搜刮成果頁面

  圖2:被黑客植進歹意代碼的新聞頁面

  圖3:被劫持后主動跳轉(zhuǎn)的假頁面

  瑞星安然專家暗示,這類新型Web劫持很是危險,此后還有可能有更多網(wǎng)站遭受劫持,此中搜刮引擎、金融、電商和票務(wù)等網(wǎng)站可能成為高危報復(fù)打擊方針。它可以或許悄無聲氣地替代用戶打開的肆意頁面,在用戶覺得本身仍在瀏覽常常利用網(wǎng)站時,卻落進了黑客的騙局,受害的用戶將在盡不知情的環(huán)境下被套取財帛及小我隱私信息。是以,瑞星安然專家再次提示廣大年夜用戶,瀏覽網(wǎng)站時,頁面呈現(xiàn)任何不合泛泛的改變都要警戒,同時細(xì)心查對頁面地址,以避免蒙受不需要的損掉。

  附:瑞星互聯(lián)網(wǎng)攻防嘗試室《Web劫持搜刮頁面闡發(fā)陳述》

  Web劫持搜刮頁面闡發(fā)陳述

  現(xiàn)象闡發(fā)

  地址:

  http://www.百度.com/s?wd=%D0%C2%B6%BC%C7%C5%BB%E9%C9%B4%C9%E3%D3%B0%C4%C4%BC%D2%BA%C3--%CE%AB%B7%BB%D0%C2%CE%C5%CD%F8

  打開今后頁面為正常頁面。

  附圖1:原頁面

  在這個頁面中,點擊域名是www.wfnews.com.cn或www.cnncw.cn的網(wǎng)站,會打開一個選項卡往拜候方針頁面。

  附圖2:點擊的方針頁面

  可是隨后能就發(fā)現(xiàn)之前的頁面已變成了一個其他網(wǎng)站的地址:

  http://www.百度.com.xnb391ax506c.com.百度xu.com/s/?wd=%D0%C2%B6%BC%C7%C5%BB%E9%C9%B4%C9%E3%D3%B0%C4%C4%BC%D2%BA%C3--%CE%AB%B7%BB%D0%C2%CE%C5%CD%F8

  附圖3:被劫持后主動跳轉(zhuǎn)的假頁面

  然后,我們從頭打開原頁面,點擊域名不是www.wfnews.com.cn或www.cnncw.cn的網(wǎng)站,發(fā)現(xiàn)原頁面不會變成其他地址。

  道理闡發(fā)

  經(jīng)由過程現(xiàn)象的闡發(fā),我們猜測很有多是新打開的網(wǎng)站里面存在標(biāo)題問題。所以遴選了一個網(wǎng)頁對其源碼進行闡發(fā),首要闡發(fā)其內(nèi)部引進的腳本文件內(nèi)容,闡發(fā)的URL地址是http://www.wfnews.com.cn/health/h/2013-06/30/contentt_4038562.htm。

  經(jīng)由過程對引進的腳本文件的闡發(fā),我們發(fā)現(xiàn)此中一些引進的文件中包含有顛末加密措置的腳本代碼,這個很有可能就是引發(fā)跳轉(zhuǎn)的啟事。

  附圖4:加密腳本內(nèi)容

  下面我們來闡發(fā)引進的阿誰加密腳本http://www.13an.com/china/data/forum-20130604183433.js。下載并顛末解密闡發(fā)闡發(fā)一下,我們獲得了核心代碼以下附圖5所示:

  附圖5:報復(fù)打擊腳本的核心代碼

  下面我們本身寫一個小代碼進行本地測試,測試編制比較簡單,成立兩個文件index.html和new.html。

  Index.html頁面比較簡單,就是引進一個a標(biāo)簽,然后點擊在新窗口中打開new.Html,代碼以下。

  附圖6:測試用Index.html的代碼

  New.Html里面就增加了一個script腳本,用來措置window.opener,代碼以下。

  紅框中的就是核心代碼,也就是導(dǎo)致原頁面重置的啟事。然后我們別離在Chrome、Firefox、IE8環(huán)境進行測試。

  Chrome

  附圖8:Chrome瀏覽器下的測試成果

  截圖中便可以看到打開新頁面時,前面的index.html已經(jīng)是百度首頁了。

  Firefox

  附圖9:FireFox瀏覽器下的測試成果

  火狐也是一樣的。

  IE8

  附圖10:IE8瀏覽器下的測試成果

  IE8也跳轉(zhuǎn)過往了。

  至此我們就體味了頁面是若何將百度的窗口跳轉(zhuǎn)到另外一個頁面的。

------分隔線----------------------------

推薦內(nèi)容