黑客Web欺骗的工作原理和解决方案

  --------------------------------------------------------------------------------
  要是受攻击者填写了一个错误Web上的表单，那么效果看来似乎会很正常，由于只要遵循尺度的Web协议，表单欺骗很自然地不会被察觉：表单的确定信息被编码到URL中，内容会以HTML形式来前往。既然前面的URL都曾经得到了改写，那么表单欺骗将是很自然的事变。 　　
  当受攻击者提交表单后，所提交的数据进入了攻击者的服务器。攻击者的服务器可以或许视察，甚至是修改所提交的数据。异样地，在得到真正的服务器前往信息后，攻击者在将其向受攻击者前往以前也可以为所欲为。
  关于“安全毗连” 　　
  我们都晓得为了进步Web使用的安全性，有人提出了一种叫做安全毗连的概念。它是在用户欣赏器和Web服务器之间创立一种基于SSL的安全毗连。但是让人感触遗憾的是，它在Web欺骗中根本上无所作为。受攻击者可以和Web欺骗中所提供的错误网页创立起一个看似正常的“安全毗连”：网页的文档可以正常地传输而且作为安全毗连标志的图形（通常是封闭的一把钥匙大概锁）依然工作正常。换句话说，也便是欣赏器提供给用户的感觉是一种安全可靠的毗连。但正像我们前面所提到的那样，此时的安全毗连是创立在 www.org 而非用户所希望的站点。
  攻击的导火索 　　
  为了开端攻击，攻击者必需以某种方式引诱受攻击者进入攻击者所创造的错误的Web。黑客往往使用下面若干种方法。
  1.把错误的Web链接放到一个抢手Web站点上；
  2.要是受攻击者使用基于Web的邮件，那么可以将它指向错误的Web；
  3.创立错误的Web索引，指示给搜刮引擎。
  Web欺骗的细节完善
  前面描述的攻击相称有效，但是它还不是十分完美的。黑客往往还要创造一个可信的环境，包罗各类图标、笔墨、链接等，提供给受攻击者各种各样的十分可信的表现。总之便是隐藏一切尾巴。此时，要是错误的Web是富有敌意的，那么无辜的用户将处于十分伤害的田地。
  别的，黑客还会细致以下方面。
  1. 形态线路 　　
  毗连形态是位于欣赏器底部的提示信息，它提示以后毗连的各类信息。Web欺骗中触及两类信息。首先，当鼠标安排在Web链接上时，毗连形态表现链接所指的URL地点，这样，受攻击者大概会细致到重写的URL地点。第二，当Web毗连成功时，毗连形态将表现所毗连的服务器称号。这样，受攻击者可以细致到表现 www.org，而非自己所希望的站点。
  攻击者可以或许经过javascript编程来弥补这两项不足。由于javascript可以或许对毗连形态进行写操作，而且可以将javascript操作与特定事件绑定在一同，所以，攻击者完全可以将改写的URL形态恢复为改写前的形态。这样Web欺骗将更为可信。
  2. 地位形态行 　　
  欣赏器的地位形态行表现以后所处的URL地位，用户也可以在其中键入新的URL地点进入到别的的URL，要是不进行须要的更改，此时URL会暴暴露改写后的URL。异样地，利用javascript可以隐藏失改写后的URL。javascript能用不真实的URL掩盖真实的URL，也可以或许担当用户的键盘输入，并将之改写，进入不正确的URL。
  Web欺骗的缺点 　　
  只管黑客在进行Web欺骗时已绞尽脑汁，但是照旧留有一些不足。
  文档信息 　　
  攻击者并不是不留丝毫痕迹，HTML源文件便是开启欺骗迷宫的钥匙。攻击者对其无能为力。经过使用欣赏器中“viewsource”下令，用户可以或许阅读以后的HTML源文件。经过阅读HTML源文件，可以发明被改写的URL，因此可以发觉到攻击。遗憾的是，对于初学者而言，HTML源文件实在是有些难明。
  经过使用欣赏器中“view document information”下令，用户可以或许阅读以后URL地点的一些信息。可喜的是这里提供的是真实的URL地点，因此用户可以或许很容易果断出Web欺骗。不外，绝大少数用户都很少细致以上一些属性，可以说潜伏的伤害照旧存在的。
  Web欺骗的防备办理
  逃离灾难 　　
  受攻击者可以自发与不自发地离开攻击者的错误Web页面。这里有若干种方法。访问Bookmark或使用欣赏器中提供的“Open location”进入其他Web页面，离开攻击者所设下的陷阱。不外，要是用户使用“Back”按键，则会重新进入原先的错误Web页面。当然，要是用户将所访问的错误Web存入Bookmark，那么下次大概会直接进入攻击者所设下的陷阱。
  关于追踪攻击者 　　
  有人发起该当经过跟踪来发明并处分攻击者。的确如此，攻击者要是想进行Web欺骗的话，那么离不开Web服务器的帮助。但是，他们利用的Web服务器很大概是被攻击后的产品，就象罪犯驾驶着盗窃来的汽车去作案一样。
  防备办法 　　
  Web欺骗是当今Internet上具有相称伤害性而不易被察觉的欺骗伎俩。幸运的是，我们可以采取的一些掩护办法。
  短期的办理方案 　　
  为了取得短期的效果，最好从下面三方面来防备：
  1.克制欣赏器中的javascript功效，那么各类改写信息将本相毕露；
  2.确保欣赏器的毗连形态是可见的，它将给你提供以后地位的各类信息；
  3.时刻细致你所点击的URL链接会在地位形态行中得到正确的表现。
  如今，javascript、ActiveX以及Java提供越来越丰富和强大的功效，而且越来越为黑客们进行攻击活动提供了强大的本领。为了保证安全，发起用户考虑克制这些功效。
  这样做，用户将损失一些功效，但是与大概带来的后果比力起来，每小我私家会得出自己的结论。
  长期的办理方案 　　
  1.转变欣赏器，使之具有反应真实URL信息的功效，而不会被蒙蔽；
  2.对于经过安全毗连创立的Web——欣赏器对话，欣赏器还应该报告用户谁在另一端，而不只是评释一种安全毗连的形态。好比：在创立了安全毗连后，给出一个提示信息“NetscapeInc.”等等。
  全部的办理方案，可以凭据用户的安全要求和实际条件来加以选择。
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

TAG:

评论加载中... 内容： 评论者： 验证码：