细细的红线,网站浏览安全细细谈

网站浏览安全细细谈 - 故障解答 - 电脑教程网

网站浏览安全细细谈

日期:2007-07-01   荐:
Web欺骗是一种具有相当危险性且不易被察觉的黑客攻击手法,一般意义上讲,也就是针对浏览网页的个人用户进行欺骗,非法获取或者破坏个人用户的隐私和数据资料。它危及到普通Web浏览器用户,包括Netscape avigator用户和Microsoft Internet Explorer用户。
  一、欺骗手法
  攻击者如果想进行Web欺骗就,离不开Web服务器的支持,所以绝大多数情况下,他们在受攻击者和Web服务器之间设立起攻击者自己的Web服务器,这种攻击种类在安全问题中称为“来自中间的攻击”。用户浏览器和真正的服务器之间的数据交换并非是直接的,会被攻击者的服务器截获并处理。利用中间服务器进行行骗,就像罪犯驾驶着盗窃来的警车去“执行公务”,因此相当隐蔽。对于被攻击用户,几乎是不知不觉的,因为他们仍然可以自由登录、链接到该网站的所有页面。对于攻击者而言,在偷偷监视截取信息的同时,也能以受攻击者的名义发送数据到真正的Web服务器,包括以服务器的名义发送数据给受攻击者。
  当用户访问某个这样的站点并进行合理的活动时,可能面对的并不是真实的目标网站,而只是一个攻击者营造的真实站点的翻版,或者说虚拟的镜像,它们之间如此雷同并不会让我们感到潜在的威胁,而此时你的所有注册信息和登录账号口令,甚至一切活动,就源源不断地从这个镜像的入口进入到攻击者控制着的Web服务器。攻击者可以监视、记录、修改所有信息并进行破坏活动。


  例如,在线填写表单时,填入表单的用户密码账号等信息将被获取,从而泄密。在访问网上银行时,你可能根据你所见的银行Web页面,从该行的账户中提取或存入一定数量的存款。因为你相信你所访问的Web页面就是你所需要的银行的Web页面。无论是页面的外观布局、图片标识、链接地址,文字内容还是其它一些相关内容,都让你感到非常熟悉,没有理由不相信。但是,你确实是处在攻击者建立的伪造页面中。
  二、实施过程
  1.诱使用户进入攻击者控制的中间服务器
  攻击者在Web服务器需要提供关于某个Web站点的错误Web页面时,他只需要在自己的服务器上建立一个该站点的拷贝,而不必存储整个真实服务器站点的内容,然后改写这个拷贝中所有的链接获得真实服务器上的所有页面镜像。
  首先,攻击者改写拷贝中所有链接地址(URL),使它们指向了攻击者的服务器而不是真正的服务器。假定攻击者所处的Web服务器是www.???.com,攻击者通过在所有链接前增加www.???.com来改写URL。例如,abc.efg.com将变为www.???.com/ abc.efg.com。当用户点击改写过的abc.efg.com,进入的确是:www.???.com,然后由该中间服务器向abc.efg.com发出请求并获得真正的文档,然后改写文档中的所有链接,最后经http://www.???.com返回给用户的浏览器。


  可见,用户通过改写后的链接登录目标站点时,实际上先是经由中间服务器,然后才向目标服务器请求文档,而目标服务器返回的文档必须经由中间服务器,改写所有链接后才传回给用户浏览器。很显然,修改过的文档中的所有URL都指向了www.???.com,当用户点击任何一个链接都会直接进入这个页面,而不会直接进入真正的网站。只要用户由此进入其它网页,那么他们是永远不会摆脱掉受攻击的可能的。
  伪造网页中的表单,如果被填写就构成了表单欺骗,同样神不知鬼不觉。表单的确定信息被编码到链接地址行中,内容会以HTML形式返回。前面讲到,所有页面的URL都已经被改写,那么表单欺骗将是很自然的事情了。
  当受攻击者提交表单后,所提交的数据进入了攻击者的服务器。攻击者的服务器能够观察,甚至是修改所提交的数据。同样地,在得到真正的服务器返回信息后,攻击者将向受攻击者返回信息。
  2.发布欺骗页
  Web攻击者必须设法引诱用户去访问并点击他设定的Web陷阱,黑客往往使用下面几种方法:
标签: