在用戶的郵件中有一個(gè)按鈕。只要用戶點(diǎn)擊這個(gè)按鈕,就可以打開(kāi)企業(yè)的Web網(wǎng)站。其實(shí)這個(gè)按鈕就是一個(gè)網(wǎng)絡(luò)連接?,F(xiàn)在攻擊者點(diǎn)擊這個(gè)鏈接后,其實(shí)第一次打開(kāi)的并不是企業(yè)的網(wǎng)頁(yè),而是其偽造的一個(gè)網(wǎng)頁(yè)。同時(shí)在這個(gè)網(wǎng)頁(yè)代碼中,會(huì)再去打開(kāi)企業(yè)搞活動(dòng)的網(wǎng)頁(yè),而將自己偽造的網(wǎng)頁(yè)隱藏起來(lái)。注意,在這個(gè)過(guò)程中,偽造的網(wǎng)頁(yè)就會(huì)像用戶的主機(jī)中下載各種各樣的木馬與病毒。從安全的角度講,這封郵件本身是沒(méi)有病毒的。所以不會(huì)被企業(yè)的防火墻攔截。只有當(dāng)用戶點(diǎn)擊郵件中的鏈接,從偽造的網(wǎng)頁(yè)中下載木馬時(shí),防火墻才能夠發(fā)覺(jué)并提醒用戶。在這種情況下,用戶就覺(jué)得是企業(yè)的網(wǎng)頁(yè)在作怪。其實(shí)這是一個(gè)天大的冤枉。大部分情況是因?yàn)猷]件中的URL鏈接被篡改所導(dǎo)致的。

另外一種可能就是攻擊者直接在企業(yè)的網(wǎng)站上開(kāi)刀。如攻擊者通過(guò)各種攻擊手段獲得網(wǎng)站的管理員權(quán)限之后,就可以在企業(yè)的Web頁(yè)面中添加惡意代碼。如從其他網(wǎng)站上下載木馬或者直接使一個(gè)木馬代碼。當(dāng)用戶通過(guò)鏈接打開(kāi)這個(gè)活動(dòng)業(yè)面時(shí)就會(huì)中招。此時(shí)就會(huì)辜負(fù)其他用戶對(duì)企業(yè)的信任,從而成為了一只無(wú)辜的替罪羊。

三、安全隱患的防護(hù)

這種Email與Web系統(tǒng)結(jié)合使用而導(dǎo)致的安全隱患,防護(hù)起來(lái)具有一定難度。主要是因?yàn)榘踩藛T很難通過(guò)自查的方式來(lái)發(fā)現(xiàn)這個(gè)安全隱患。從以上的分析中可以看出,其攻擊點(diǎn)只要有兩個(gè)。一是郵件中的URL鏈接,另外一個(gè)就是企業(yè)的Web網(wǎng)頁(yè)。只要其中有一個(gè)被攻擊了,就會(huì)造成上面所分析的后果。既然這存在這么大的安全隱患,那么企業(yè)能否放棄這種方式呢?其實(shí)這也不現(xiàn)實(shí)。因?yàn)楦鶕?jù)企業(yè)的反饋來(lái)看,通過(guò)這種形式來(lái)推廣企業(yè)的品牌形象是一個(gè)非常有效的方法。不僅成本便宜,而且比價(jià)具有針對(duì)性。這就給安全人員一個(gè)新的挑戰(zhàn),如何來(lái)解決這個(gè)安全問(wèn)題呢?對(duì)此筆者有如下幾個(gè)安全建議。

一是不要使用按鈕,而直接使用鏈接。如果使用按鈕,那么即使攻擊者更改了URL鏈接,管理員也很難發(fā)掘這個(gè)中更改的行為。如故直接使用URL鏈接地址,而不是按鈕,那么這種情況就可能有所改觀。如用戶在發(fā)送郵件的時(shí)候,也同時(shí)發(fā)送給自己。查看自己收到的URL鏈接,可以初步判斷這個(gè)鏈接有沒(méi)有被更改過(guò)。這是一個(gè)比較初級(jí)的方法,但是也是一個(gè)行之有效的手段。

二是需要追蹤。這種攻擊有一個(gè)顯著的特點(diǎn),就是攻擊的直接受害者并不是企業(yè)自己,而是信賴企業(yè)的合作伙伴,包括供應(yīng)商、客戶等合作伙伴。當(dāng)其他用戶發(fā)現(xiàn)這個(gè)網(wǎng)站有問(wèn)題時(shí),企業(yè)的Web管理員很有可能還一無(wú)所知。由于Web管理員后之后決,就導(dǎo)致了受害用戶的增加。筆者建議,對(duì)有這些具有推廣Web網(wǎng)站性質(zhì)的郵件,安全管理人員應(yīng)該給與特殊的關(guān)注,如需要加強(qiáng)后續(xù)的追蹤。其實(shí)這個(gè)追逐也比較簡(jiǎn)單,只需要管理員在后續(xù)的工作中,自己去點(diǎn)擊一下,看看有沒(méi)有問(wèn)題。當(dāng)然前提是客戶端安裝了殺毒軟件并已經(jīng)將其升級(jí)至最新版本的情況下。

三是完善網(wǎng)頁(yè)代碼的編寫。以上這種攻擊,又被稱之為XSS攻擊。XSS攻擊其主要采用的是頁(yè)面文件編寫不完善所造成的。為此一般很難通過(guò)現(xiàn)有的安全產(chǎn)品(如防火墻等等)來(lái)解決。其最直接的方式就是對(duì)企業(yè)現(xiàn)有的Web頁(yè)面文件進(jìn)行完善。筆者這里建議,在編寫Web頁(yè)面文間時(shí),最好采用多層式的編碼結(jié)構(gòu)。這可以在很大程度上完善頁(yè)面文件,以提到防范XSS攻擊的目的。筆者再?gòu)?qiáng)調(diào)一下,針對(duì)這種攻擊,通常情況下的安全防護(hù)工具并不能夠起到很大的效果。

四是需要仔細(xì)分析日志。從企業(yè)的網(wǎng)站日志中,一般會(huì)詳細(xì)記錄訪問(wèn)的相關(guān)信息。如用戶的訪問(wèn)地址等等。在上面的攻擊原理中,我們會(huì)發(fā)現(xiàn),當(dāng)超鏈接被更改后,攻擊者會(huì)利用一個(gè)假冒的網(wǎng)頁(yè)去打開(kāi)目標(biāo)網(wǎng)頁(yè)?,F(xiàn)在如果通過(guò)日志發(fā)現(xiàn),很多訪問(wèn)者都是來(lái)自相同的地址(仿冒的訪問(wèn)者),那么就可以判斷這些訪問(wèn)存在著異常的情況。此時(shí)Web安全人員就需要仔細(xì)核對(duì)相關(guān)的內(nèi)容,判斷是哪里存在問(wèn)題。

五是選擇一跨好的網(wǎng)頁(yè)開(kāi)發(fā)工具。上面筆者談到過(guò),發(fā)生這種工具很多情況下是由于Web頁(yè)面自身的漏洞所造成的。對(duì)于一個(gè)比較復(fù)雜的網(wǎng)頁(yè),要通過(guò)手工檢查來(lái)發(fā)現(xiàn)這些漏洞,具有一定的難度。其實(shí)在選擇網(wǎng)頁(yè)開(kāi)發(fā)工具時(shí),我們可以有意識(shí)的選擇一些安全性比較高的開(kāi)發(fā)平臺(tái)。如VS2010等等。這些平臺(tái)往往會(huì)帶有一些安全自檢工具。通過(guò)這些工具,可以發(fā)現(xiàn)網(wǎng)頁(yè)頁(yè)面中存在的已知漏洞。在發(fā)布之前就做好相關(guān)的安全自檢工具,就能夠?qū)⑦@種攻擊檔在門外。

其實(shí)上面的這些安全措施主要體現(xiàn)了兩個(gè)原理。一是攘外必先安內(nèi)。要避免外部的工具,就需要先保障自身的安全。俗話說(shuō),蒼蠅不叮無(wú)縫的雞蛋。如果頁(yè)面文間本身不存在安全問(wèn)題,這種攻擊也只能夠望洋興嘆了。二是要最后追蹤與分析工作。任何攻擊都有跡象可循。及早發(fā)現(xiàn)攻擊的跡象,并將其扼殺在萌芽狀態(tài),可以減少受影響的用戶。亡羊補(bǔ)牢,為時(shí)未晚。

分享到

liukai

相關(guān)推薦