设为主页 | 加入收藏 | 繁體中文

黑客Web欺骗的工作原理和解决方案

  本文形貌Internet上的一种安全攻击,它可能陵犯到WWW用户的隐私和数据完整性。这种攻击可以在现有的体系上实现,危害最平凡的Web浏览器用户,包括Netscape Navigator和Microsoft Internet Explorer用户。
  Web欺骗允许攻击者创造整个WWW天下的影像拷贝。影像Web的入口进入到攻击者的Web办事器,经过攻击者呆板的过滤作用,允许攻击者监控受攻击者的任何活动,包括帐户和口令。攻击者也能以受攻击者的名义将错误或者易于误解的数据发送到真正的Web办事器,以及以任何Web办事器的名义发送数据给受攻击者。简而言之,攻击者观察和控制着受攻击者在Web上做的每一件事。
  欺骗攻击
  在一次欺骗攻击中,攻击者创造一个易于误解的上下文环境,以诱使受攻击者进入并且做出缺乏安全考虑的决策。欺骗攻击就像是一场虚拟游戏:攻击者在受攻击者的周围建立起一个错误但是令人佩服的天下。要是该虚拟天下是真实的话,那么受攻击者所做的统统都是无可厚非的。但遗憾的是,在错误的天下中似乎是公道的活动可能会在现实的天下中招致灾难性的结果。
  欺骗攻击在现实的电子生意业务中也是罕见的征象。例如,我们曾经听说过如许的事变:一些东方罪犯分子在大众场合建立起虚假的ATM取款机,该种呆板可以担当ATM卡,并且会扣问用户的PIN暗码。一旦该种呆板获得受攻击者的PIN暗码,它会要么“吃卡”,要么反应“妨碍”,并返回ATM卡。不论哪一种环境,罪犯都市获得足够的信息,以复制出一个完全一样的ATM卡。后面的事变大家可想而知了。在这些攻击中,人们每每被所看到的事物所愚弄:ATM取款机所处的位置,它们的形状和装饰,以及电子表现屏的内容等等。
  人们利用盘算机体系完成具有安全要求的决策时每每也是基于其所见。例如,在访问网上银行时,你可能根据你所见的银行Web页面,从该行的帐户中提取或存入肯定命量的存款。因为你相信你所访问的Web页面就是你所必要的银行的Web页面。无论是页面的表面、URL地址,还是其他一些相干内容,都让你感到非常熟悉,没有理由不相信。但是,你很可能是在被愚弄。
  为了阐发可能呈现欺骗攻击的范围和严重性,我们必要深化研究关于Web欺骗的两个部分:安全决策和暗示。
  安全决策
  安全决策,这里指的是会招致安全题目的一类决策。这类决策每每都含有较为敏感的数据,也就是意味着一个人在做出决策时,可能会因为关键数据的泄漏,招致不受欢迎的结果。很可能产生如许的事变:第三方利用各类决策数据攻破某种机密,进行粉碎活动,或者招致不安全的结果。例如,在某种场合输出帐户和暗码,就是我们在此谈到的安全决策题目。因为帐户和暗码的泄漏会产生我们不希望产生的题目。别的,从Internet上下载文件也是一类安全决策题目。不可否定,在下载的文件当中可能会包含有歹意粉碎的成分,只管如许的事变不会每每产生。
  安全决策题目无处不在,乃至在我们通过阅读表现信息做出决策时,也存在一个关于信息正确性的安全决策题目。例如,要是你决定根据网上证券站点所提供的证券价格购置某类证券时,那么你必需确保所吸收信息的正确性。要是有人故意提供不正确的证券价格,那么不可避免地会有人糜费本身的财产。
  暗示
  WWW站点提供给用户的是丰富多彩的各类信息,人们通过浏览器任意翻阅网页,根据得到的上下文环境来做出相应的决定。Web页面上的笔墨、图画与声音可以给人以深入的印象,也正是在这种背景下,人们每每能够果断出该网页的地址。例如,一个特别标识的存在一样平常意味着处于某个公司的Web站点。
  我们都晓得目标的呈现每每通报着某种暗示。在盘算机天下中,我们每每都风俗于各类图标、图形,它们辨别代表着各类不同的寄义。富有经验的浏览器用户对某些信息的反响就如同富有经验的驾驶员对交通讯号和标志做出的反响一样。
  目标的名字能传达更为充分的信息。人们每每根据一个文件的称号来推测它是关于什么的。manual.doc是用户手册的正文吗?它完全可以是别的一个文件品种,而不是用户手册一类的文档。一个microsoft.com的链接岂非就肯定指向我们大家都晓得的微软公司的URL地址吗?显然可以偷梁换柱,改向其他地址。
  人们每每还会在工夫的先后次序中得到某种暗示。要是两个变乱同时产生,你自然地会认为它们是有关联的。要是在点击银行的网页时,username对话框同时呈现了,你自然地会认为你应该输出你在该银行的帐户与口令。要是你在点击了一个文档链接后,立刻就开始了下载,那么你很自然地会认为该文件正从该站点下载。然而,以上的想法不一建都是正确的。
  要是你仅仅看到一个弹出窗口,那么你会和一个可视的变乱接洽起来,而不会认识到一个隐蔽在窗口面前的不可视的变乱。 现代的用户接口步伐计划者花费很大的精神来计划简略易懂的界面,人们感受到了方便,但潜在的题目是人们可能风俗于此,不可避免地被该种暗示所欺骗。
  TCP和DNS欺骗
  除了我们将要讨论的欺骗本领外,还有一些其他本领,在这里我们将不做讨论。这种攻击的例子包括TCP欺骗(在TCP包中使用伪造的IP地址)以及DNS欺骗(攻击者伪造关于呆板称号和网络信息)。读者有兴味可以阅读有关资料。
  Web欺骗
  Web欺骗是一种电子信息欺骗,攻击者在此中创造了整个Web天下的一个令人佩服但是完全错误的拷贝。错误的Web看起来非常传神,它拥有雷同的网页和链接。然而,攻击者控制着错误的Web站点,如许受攻击者浏览器和Web之间的所有网络信息完全被攻击者所截获,其工作原理就宛如是一个过滤器。
  结果
  由于攻击者可以观察或者修正任何从受攻击者到Web办事器的信息;异样地,也控制着从Web办事器至受攻击者的返回数据,如许攻击者就有许多发起攻击的可能性,包括监督和粉碎。
  攻击者能够监督受攻击者的网络信息,记录他们访问的网页和内容。当受攻击者填写完一个表单并发送后,这些数据将被传送到Web办事器,Web办事器将返回须要的信息,但不幸的是,攻击者完全可以截获并加以使用。大家都晓得绝大部分在线公司都是使用表单来完成业务的,这意味着攻击者可以获得用户的帐户和暗码。上面我们将看到,即使受攻击者有一个“安全”毗连(通常是通过Secure Sockets Layer来实现的,用户的浏览器会表现一把锁或钥匙来表示处于安全毗连),也无法逃走被监督的命运。
  在得到须要的数据后,攻击者可以通过修正受攻击者和Web办事器之间任何一个偏向上的数据,来进行某些粉碎活动。攻击者修正受攻击者简直认数据,例如,要是受攻击者在线订购某个产品时,攻击者可以修正产品代码,数量或者邮购地址等等。攻击者也能修正被Web办事器所返回的数据,例如,插入易于误解或者攻击性的资料,粉碎用户和在线公司的关系等等。
  欺骗整个Web天下
  你可能认为攻击者欺骗整个Web天下是不可能的,但是恰好相反,攻击者不用存储整个Web天下的内容,他只必要制造出一条通向整个Web天下的链路。当他必要提供关于某个Web站点的错误Web页面时,他只必要在本身的办事器上建立一个该站点的拷贝,由此等待受益者自投罗网。
  Web欺骗的工作原理
  欺骗能够乐成的关键是在受攻击者和其他Web办事器之间设立起攻击者的Web办事器,这种攻击品种在安全题目中称为“来自中间的攻击”。为了建立起如许的中间Web办事器,黑客每每进行以下工作。
  改写URL
  起首,攻击者改写Web页中的所有URL地址,如许它们指向了攻击者的Web办事器而不是真正的Web办事器。假设攻击者所处的Web办事器是 www.org ,攻击者通过在所有链接前增加 http://www.www.org 来改写URL。例如, http://home.xxx1.com 将变为 http://www.www.org/http://home.xxx1.com. 当用户点击改写过的 http://home.xxx1.com (可能它仍然表现的是 http://home.xxx1 ),将进入的是 http://www.www.org ,然后由 http://www.www.orghttp://home.xxx1.com 收回恳求并获得真正的文档,然后改写文档中的所有链接,末了经过 http://www.www.org 返回给用户的浏览器。工作流程如下所示:
  1.用户点击经过改写后的 http://www.www.org/http://home.xxx1.com ;  
  2. http://www.www.orghttp://home.xxx1.com 恳求文档;  
  3. http://home.xxx1.comhttp://www.www.org 返回文档;  
  4. http://www.www.org 改写文档中的所有URL;  
  5. http://www.www.org 向用户返回改写后的文档。  
  很显然,修自新的文档中的所有URL都指向了 www.org ,当用户点击任何一个链接都市间接进入 www.org ,而不会间接进入真正的URL。要是用户由此顺次进入其他网页,那么他们是永远不会开脱掉受攻击的可能。
  关于表单
  要是受攻击者填写了一个错误Web上的表单,那么结果看来似乎会很正常,因为只要遵循标准的Web协议,表单欺骗很自然地不会被发觉:表单简直定信息被编码到URL中,内容会以HTML情势来返回。既然前面的URL都曾经得到了改写,那么表单欺骗将是很自然的事变。
  当受攻击者提交表单后,所提交的数据进入了攻击者的办事器。攻击者的办事器能够观察,乃至是修正所提交的数据。异样地,在得到真正的办事器返复书息后,攻击者在将其向受攻击者返回以前也可以为所欲为。
  关于“安全毗连”
  我们都晓得为了提高Web使用的安全性,有人提出了一种叫做安全毗连的观点。它是在用户浏览器和Web办事器之间建立一种基于SSL的安全毗连。可是让人感到遗憾的是,它在Web欺骗中基本上碌碌无为。受攻击者可以和Web欺骗中所提供的错误网页建立起一个看似正常的“安全毗连”:网页的文档可以正常地传输并且作为安全毗连标志的图形(通常是封闭的一把钥匙或者锁)依然工作正常。换句话说,也就是浏览器提供给用户的感觉是一种安全可靠的毗连。但正像我们前面所提到的那样,此时的安全毗连是建立在 www.org 而非用户所希望的站点。
  攻击的导火索
  为了开始攻击,攻击者必需以某种方法诱惑受攻击者进入攻击者所创造的错误的Web。黑客每每使用上面多少种要领。
  1把错误的Web链接放到一个热门Web站点上;
  2要是受攻击者使用基于Web的邮件,那么可以将它指向错误的Web;
  3创立错误的Web索引,指示给搜刮引擎。
  美满攻击
  前面形貌的攻击相当有用,但是它还不是非常美满的。黑客每每还要创造一个可信的环境,包括各类图标、笔墨、链接等,提供给受攻击者种种百般的非常可信的暗示。总之就是隐蔽统统尾巴。此时,要是错误的Web是富有敌意的,那么无辜的用户将处于非常伤害的境地。
  别的,黑客还会注意以下方面。
  1. 形态线路
  毗连形态是位于浏览器底部的提示信息,它提示当前毗连的各类信息。Web欺骗中触及两类信息。起首,当鼠标安排在Web链接上时,毗连形态表现链接所指的URL地址,如许,受攻击者可能会注意到重写的URL地址。第二,当Web毗连乐成时,毗连形态将表现所毗连的办事器称号。如许,受攻击者可以注意到表现 www.org ,而非本身所希望的站点。
  攻击者能够通过JavaScript编程来补充这两项不足。由于JavaScript能够对毗连形态进行写操作,并且可以将JavaScript操作与特定变乱绑定在一同,所以,攻击者完全可以将改写的URL形态规复为改写前的形态。如许Web欺骗将更为可信。
  2. 位置形态行
  浏览器的位置形态行表现当前所处的URL位置,用户也可以在此中键入新的URL地址进入到别的的URL,要是不进行须要的变动,此时URL会暴暴露改写后的URL。异样地,利用JavaScript可以隐蔽掉改写后的URL。JavaScript能用不真实的URL掩盖真实的URL,也能够担当用户的键盘输出,并将之改写,进入不正确的URL。
  Web欺骗的弱点
  只管黑客在进行Web欺骗时已绞尽脑汁,但是还是留有一些不足。
  文档信息
  攻击者并不是不留丝毫陈迹,HTML源文件就是开启欺骗迷宫的钥匙。攻击者对其能干为力。通过使用浏览器中“viewsource”下令,用户能够阅读当前的HTML源文件。通过阅读HTML源文件,可以发现被改写的URL,因此可以觉察到攻击。遗憾的是,对付初学者而言,HTML源文件实在是有些难懂。
  通过使用浏览器中“view document information”下令,用户能够阅读当前URL地址的一些信息。可喜的是这里提供的是真实的URL地址,因此用户能够很容易果断出Web欺骗。不外,绝大少数用户都很少注意以上一些属性,可以说潜在的伤害还是存在的。
  逃离灾难
  受攻击者可以自发与不自发地离开攻击者的错误Web页面。这里有多少种要领。访问Bookmark或使用浏览器中提供的“Open location”进入其他Web页面,离开攻击者所设下的陷阱。不外,要是用户使用“Back”按键,则会重新进入原先的错误Web页面。固然,要是用户将所访问的错误Web存入Bookmark,那么下次可能会间接进入攻击者所设下的陷阱。
  关于追踪攻击者
  有人发起该当通过跟踪来发现并处罚攻击者。的确如此,攻击者要是想进行Web欺骗的话,那么离不开Web办事器的资助。但是,他们利用的Web办事器很可能是被攻击后的产品,就象罪犯驾驶着偷窃来的汽车去作案一样。
  预防措施
  Web欺骗是当今Internet上具有相当伤害性而不易被发觉的欺骗手法。荣幸的是,我们可以接纳的一些掩护措施。
  短期的解决方案
  为了获得短期的效果,最好从上面三方面来预防:
  1.克制浏览器中的JavaScript功能,那么各类改写信息将本相毕露;
  2.确保浏览器的毗连形态是可见的,它将给你提供当前位置的各类信息;
  3.时刻注意你所点击的URL链接会在位置形态行中得到正确的表现。
  现在,JavaScript、ActiveX以及Java提供越来越丰富和强大的功能,并且越来越为黑客们进行攻击活动提供了强大的本领。为了包管安全,发起用户考虑克制这些功能。
  如许做,用户将损失一些功能,但是与可能带来的结果比力起来,每个人会得出本身的结论。
  长期的解决方案
  1.转变浏览器,使之具有反应真实URL信息的功能,而不会被蒙蔽;
  2.对付通过安全毗连建立的Web——浏览器对话,浏览器还应该告诉用户谁在另一端,而不只是评释一种安全毗连的形态。比如:在建立了安全毗连后,给出一个提示信息“NetscapeInc.”等等。
  所有的解决方案,可以根据用户的安全要求和现实条件来加以选择。
 


    文章作者: 福州军威计算机技术有限公司
    军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
    版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

TAG:
评论加载中...
内容:
评论者: 验证码: