在用戶的郵件中有一個按鈕�。只要用戶點擊這個按鈕,就可以打開企業(yè)的Web網(wǎng)站�����。其實這個按鈕就是一個網(wǎng)絡(luò)連接?���,F(xiàn)在攻擊者點擊這個鏈接后����,其實第一次打開的并不是企業(yè)的網(wǎng)頁,而是其偽造的一個網(wǎng)頁��。同時在這個網(wǎng)頁代碼中���,會再去打開企業(yè)搞活動的網(wǎng)頁��,而將自己偽造的網(wǎng)頁隱藏起來�。注意,在這個過程中�,偽造的網(wǎng)頁就會像用戶的主機中下載各種各樣的木馬與病毒。從安全的角度講��,這封郵件本身是沒有病毒的�����。所以不會被企業(yè)的防火墻攔截��。只有當(dāng)用戶點擊郵件中的鏈接�,從偽造的網(wǎng)頁中下載木馬時,防火墻才能夠發(fā)覺并提醒用戶���。在這種情況下���,用戶就覺得是企業(yè)的網(wǎng)頁在作怪��。其實這是一個天大的冤枉����。大部分情況是因為郵件中的URL鏈接被篡改所導(dǎo)致的��。
另外一種可能就是攻擊者直接在企業(yè)的網(wǎng)站上開刀���。如攻擊者通過各種攻擊手段獲得網(wǎng)站的管理員權(quán)限之后��,就可以在企業(yè)的Web頁面中添加惡意代碼。如從其他網(wǎng)站上下載木馬或者直接使一個木馬代碼��。當(dāng)用戶通過鏈接打開這個活動業(yè)面時就會中招����。此時就會辜負其他用戶對企業(yè)的信任,從而成為了一只無辜的替罪羊��。
三�、安全隱患的防護
這種Email與Web系統(tǒng)結(jié)合使用而導(dǎo)致的安全隱患����,防護起來具有一定難度���。主要是因為安全人員很難通過自查的方式來發(fā)現(xiàn)這個安全隱患�����。從以上的分析中可以看出�,其攻擊點只要有兩個���。一是郵件中的URL鏈接����,另外一個就是企業(yè)的Web網(wǎng)頁�。只要其中有一個被攻擊了,就會造成上面所分析的后果�����。既然這存在這么大的安全隱患��,那么企業(yè)能否放棄這種方式呢?其實這也不現(xiàn)實����。因為根據(jù)企業(yè)的反饋來看�����,通過這種形式來推廣企業(yè)的品牌形象是一個非常有效的方法�。不僅成本便宜����,而且比價具有針對性。這就給安全人員一個新的挑戰(zhàn)����,如何來解決這個安全問題呢?對此筆者有如下幾個安全建議。
一是不要使用按鈕��,而直接使用鏈接�。如果使用按鈕,那么即使攻擊者更改了URL鏈接����,管理員也很難發(fā)掘這個中更改的行為���。如故直接使用URL鏈接地址���,而不是按鈕���,那么這種情況就可能有所改觀。如用戶在發(fā)送郵件的時候���,也同時發(fā)送給自己�����。查看自己收到的URL鏈接��,可以初步判斷這個鏈接有沒有被更改過���。這是一個比較初級的方法,但是也是一個行之有效的手段��。
二是需要追蹤���。這種攻擊有一個顯著的特點���,就是攻擊的直接受害者并不是企業(yè)自己,而是信賴企業(yè)的合作伙伴,包括供應(yīng)商����、客戶等合作伙伴。當(dāng)其他用戶發(fā)現(xiàn)這個網(wǎng)站有問題時��,企業(yè)的Web管理員很有可能還一無所知�。由于Web管理員后之后決,就導(dǎo)致了受害用戶的增加���。筆者建議�����,對有這些具有推廣Web網(wǎng)站性質(zhì)的郵件�,安全管理人員應(yīng)該給與特殊的關(guān)注����,如需要加強后續(xù)的追蹤。其實這個追逐也比較簡單���,只需要管理員在后續(xù)的工作中��,自己去點擊一下,看看有沒有問題。當(dāng)然前提是客戶端安裝了殺毒軟件并已經(jīng)將其升級至最新版本的情況下��。
三是完善網(wǎng)頁代碼的編寫�。以上這種攻擊,又被稱之為XSS攻擊����。XSS攻擊其主要采用的是頁面文件編寫不完善所造成的。為此一般很難通過現(xiàn)有的安全產(chǎn)品(如防火墻等等)來解決����。其最直接的方式就是對企業(yè)現(xiàn)有的Web頁面文件進行完善。筆者這里建議���,在編寫Web頁面文間時��,最好采用多層式的編碼結(jié)構(gòu)���。這可以在很大程度上完善頁面文件,以提到防范XSS攻擊的目的���。筆者再強調(diào)一下��,針對這種攻擊����,通常情況下的安全防護工具并不能夠起到很大的效果。
四是需要仔細分析日志��。從企業(yè)的網(wǎng)站日志中�,一般會詳細記錄訪問的相關(guān)信息。如用戶的訪問地址等等�����。在上面的攻擊原理中��,我們會發(fā)現(xiàn)����,當(dāng)超鏈接被更改后,攻擊者會利用一個假冒的網(wǎng)頁去打開目標(biāo)網(wǎng)頁?��,F(xiàn)在如果通過日志發(fā)現(xiàn)�����,很多訪問者都是來自相同的地址(仿冒的訪問者)��,那么就可以判斷這些訪問存在著異常的情況����。此時Web安全人員就需要仔細核對相關(guān)的內(nèi)容,判斷是哪里存在問題��。
五是選擇一跨好的網(wǎng)頁開發(fā)工具��。上面筆者談到過��,發(fā)生這種工具很多情況下是由于Web頁面自身的漏洞所造成的����。對于一個比較復(fù)雜的網(wǎng)頁��,要通過手工檢查來發(fā)現(xiàn)這些漏洞�,具有一定的難度。其實在選擇網(wǎng)頁開發(fā)工具時����,我們可以有意識的選擇一些安全性比較高的開發(fā)平臺。如VS2010等等�����。這些平臺往往會帶有一些安全自檢工具���。通過這些工具�����,可以發(fā)現(xiàn)網(wǎng)頁頁面中存在的已知漏洞��。在發(fā)布之前就做好相關(guān)的安全自檢工具����,就能夠?qū)⑦@種攻擊檔在門外。
其實上面的這些安全措施主要體現(xiàn)了兩個原理��。一是攘外必先安內(nèi)��。要避免外部的工具����,就需要先保障自身的安全。俗話說�,蒼蠅不叮無縫的雞蛋。如果頁面文間本身不存在安全問題�,這種攻擊也只能夠望洋興嘆了。二是要最后追蹤與分析工作����。任何攻擊都有跡象可循�����。及早發(fā)現(xiàn)攻擊的跡象�,并將其扼殺在萌芽狀態(tài)����,可以減少受影響的用戶�。亡羊補牢,為時未晚�����。
