利用知名站點(diǎn)欺騙掛馬
利用知名站點(diǎn)欺騙掛馬
網(wǎng)絡(luò)上有許多"釣魚(Pushing)"式攻擊,通過各種手段誘騙上網(wǎng)者瀏覽惡意的網(wǎng)站,導(dǎo)致各種網(wǎng)銀或游戲帳號密碼丟失。同樣的,釣魚式攻擊也被用在欺騙性傳播網(wǎng)頁木馬上。
利用Google圖片搜索掛馬
類似于Google、百度、TOM、新浪之類的大網(wǎng)站,許多用戶還是非常放心的,因此在看到指向這些網(wǎng)站的鏈接時,許多用戶往往都會放心的點(diǎn)擊。然而這些大網(wǎng)站安全性并非那么十全十美,同樣也可能被攻擊者利用進(jìn)行掛馬攻擊。
例如在某個論壇上,上網(wǎng)者看到一個名為"Google搜索到的隱蔽XX圖"的帖子,其中有一個指向Google圖片搜索的鏈接:
http://images.google.com/imgres?imgurl=色情&imgrefurl=%68%74%74%70%3a%2f%2f%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d&tbnid=W
由于此鏈接指向的是Google圖片搜索,因此瀏覽毫不懷疑鏈接來源的安全性,點(diǎn)擊鏈接后沒有看到想看的圖片,卻遭受了木馬攻擊。
以Google為例,Google是全球最大的搜索引擎,同時Google擁有其他龐大的 WEB應(yīng)用程序產(chǎn)品線,涉及EMAIL、BLOG、在線文檔、個人主頁、電子地圖、論壇、RSS等互聯(lián)網(wǎng)幾乎所有的應(yīng)用業(yè)務(wù)。然而在Google提供的圖片搜索服務(wù)就存在一個安全問題。
在Google圖片搜索結(jié)果頁面中,點(diǎn)擊某張圖片,可打開一個圖片預(yù)覽頁面。在頁面上方顯示有圖片信息,下方的框架中則是顯示的圖片來源頁面(圖1)。
圖1 圖片預(yù)覽頁面#p#
如果查看此時的Google圖片預(yù)覽頁面鏈接地址,可發(fā)現(xiàn)形如:
http://images.google.com/imgres?
imgurl=http://ladymetro.metroerimg.com/img/ladymetro/editor_pickup/2008_old/upload/image/parttime2/00zz0401.jpg&
imgrefurl=http://www.ladymetro.com/fashion/content/4762&usg=__e930yGV25zCQ0nGbF9GpGQAS5xA=&h=478&w=300&sz=47&
hl=zh-CN&start=147&tbnid=WAOJc3A1C4arwM:&tbnh=129&tbnw=81
其中"imgurl="參數(shù)后是圖片的真實(shí)鏈接地址,imgrefurl=參數(shù)后是圖片來源頁面鏈接地址,其它是一些附加參數(shù)。
此時,如果將imgrefurl=參數(shù)后的圖片來源頁面鏈接地址進(jìn)行修改,就可讓Google圖片預(yù)覽頁面內(nèi)嵌任意網(wǎng)頁,包括木馬網(wǎng)頁。例如這里直接將任意Google圖片預(yù)覽頁面鏈接地址中的imgrefurl=參數(shù)鏈接修改為百度鏈接地址,則在Google圖片預(yù)覽頁面內(nèi)嵌顯示了百度首頁(圖2)。
圖2 Google圖片搜索掛馬效果#p#
當(dāng)然,如果將百度鏈接換成木馬網(wǎng)頁的話,就會遭受木馬網(wǎng)頁攻擊。不過這個鏈接地址太長了,而且參數(shù)比較多,容易讓人起疑心,因此可以去掉其中一些不必要的參數(shù),改寫為如下形式:
http://images.google.com/imgres?
imgurl=http://ladymetro.metroerimg.com/img/ladymetro/editor_pickup/2008_old/upload/image/parttime2/00zz0401.jpg&
imgrefurl=http://www.baidu.com&tbnid=WAOJc3A1C4arwM:
其中的"imgurl="參數(shù)后的圖片鏈接地址也是可以省略為任意字符的,再次改寫為如下形式:
http://images.google.com/imgres?imgurl=1&imgrefurl=http://www.baidu.com&tbnid=WAOJc3A1C4arwM:
"tbnid="參數(shù)可以為任意字符,因此改寫為如下形式(圖3):
http://images.google.com/imgres?imgurl=1.gif&imgrefurl=http://www.baidu.com&tbnid=W
圖3
在進(jìn)行掛馬攻擊時,攻擊者當(dāng)然不會直接寫入網(wǎng)頁的鏈接地址,那樣太明顯了。攻擊者可以對網(wǎng)頁木馬鏈接地址進(jìn)行轉(zhuǎn)換,變成%16進(jìn)制的形式,例如"http://www.baidu.com"可以轉(zhuǎn)換為:
%68%74%74%70%3a%2f%2f%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d#p#
則掛馬鏈接地址變?yōu)椋▓D4):
http://images.google.com/imgres?imgurl=1&imgrefurl=%68%74%74%70%3a%2f%2f%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d&tbnid=W
圖4
這個掛馬鏈接地址看難讓人看出有什么問題,而且攻擊者還可以對鏈接再進(jìn)一步偽裝,例:
http://images.google.com/imgres?imgurl=色情&imgrefurl=%68%74%74%70%3a%2f%2f%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d&tbnid=W
http://images.google.com/imgres?imgurl=sex&imgrefurl=%68%74%74%70%3a%2f%2f%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d&tbnid=W
或者直接將"imgurl="參數(shù)后加上一張令人感興趣的真實(shí)的圖片鏈接地址,點(diǎn)擊打開這個Google圖片搜索鏈接時,確實(shí)顯示了令人"興奮"的圖片,但同時也打開了木馬網(wǎng)頁。
【編輯推薦】
