在用戶的郵件中有一個按鈕��。只要用戶點擊這個按鈕�,就可以打開企業(yè)的Web網(wǎng)站���。其實這個按鈕就是一個網(wǎng)絡(luò)連接?�,F(xiàn)在攻擊者點擊這個鏈接后����,其實第一次打開的并不是企業(yè)的網(wǎng)頁���,而是其偽造的一個網(wǎng)頁��。同時在這個網(wǎng)頁代碼中�,會再去打開企業(yè)搞活動的網(wǎng)頁,而將自己偽造的網(wǎng)頁隱藏起來�����。注意�����,在這個過程中�����,偽造的網(wǎng)頁就會像用戶的主機中下載各種各樣的木馬與病毒�。從安全的角度講,這封郵件本身是沒有病毒的�����。所以不會被企業(yè)的防火墻攔截��。只有當用戶點擊郵件中的鏈接����,從偽造的網(wǎng)頁中下載木馬時�����,防火墻才能夠發(fā)覺并提醒用戶。在這種情況下����,用戶就覺得是企業(yè)的網(wǎng)頁在作怪。其實這是一個天大的冤枉��。大部分情況是因為郵件中的URL鏈接被篡改所導(dǎo)致的�。
另外一種可能就是攻擊者直接在企業(yè)的網(wǎng)站上開刀。如攻擊者通過各種攻擊手段獲得網(wǎng)站的管理員權(quán)限之后�����,就可以在企業(yè)的Web頁面中添加惡意代碼����。如從其他網(wǎng)站上下載木馬或者直接使一個木馬代碼。當用戶通過鏈接打開這個活動業(yè)面時就會中招��。此時就會辜負其他用戶對企業(yè)的信任��,從而成為了一只無辜的替罪羊。
三��、安全隱患的防護
這種Email與Web系統(tǒng)結(jié)合使用而導(dǎo)致的安全隱患���,防護起來具有一定難度���。主要是因為安全人員很難通過自查的方式來發(fā)現(xiàn)這個安全隱患。從以上的分析中可以看出��,其攻擊點只要有兩個��。一是郵件中的URL鏈接��,另外一個就是企業(yè)的Web網(wǎng)頁����。只要其中有一個被攻擊了,就會造成上面所分析的后果�。既然這存在這么大的安全隱患,那么企業(yè)能否放棄這種方式呢?其實這也不現(xiàn)實�。因為根據(jù)企業(yè)的反饋來看,通過這種形式來推廣企業(yè)的品牌形象是一個非常有效的方法���。不僅成本便宜���,而且比價具有針對性�����。這就給安全人員一個新的挑戰(zhàn)���,如何來解決這個安全問題呢?對此筆者有如下幾個安全建議����。
一是不要使用按鈕,而直接使用鏈接�。如果使用按鈕,那么即使攻擊者更改了URL鏈接���,管理員也很難發(fā)掘這個中更改的行為��。如故直接使用URL鏈接地址�����,而不是按鈕����,那么這種情況就可能有所改觀。如用戶在發(fā)送郵件的時候���,也同時發(fā)送給自己���。查看自己收到的URL鏈接,可以初步判斷這個鏈接有沒有被更改過�����。這是一個比較初級的方法�����,但是也是一個行之有效的手段�����。
二是需要追蹤��。這種攻擊有一個顯著的特點�,就是攻擊的直接受害者并不是企業(yè)自己,而是信賴企業(yè)的合作伙伴����,包括供應(yīng)商���、客戶等合作伙伴。當其他用戶發(fā)現(xiàn)這個網(wǎng)站有問題時���,企業(yè)的Web管理員很有可能還一無所知��。由于Web管理員后之后決����,就導(dǎo)致了受害用戶的增加�����。筆者建議��,對有這些具有推廣Web網(wǎng)站性質(zhì)的郵件�����,安全管理人員應(yīng)該給與特殊的關(guān)注�����,如需要加強后續(xù)的追蹤����。其實這個追逐也比較簡單,只需要管理員在后續(xù)的工作中���,自己去點擊一下��,看看有沒有問題�����。當然前提是客戶端安裝了殺毒軟件并已經(jīng)將其升級至最新版本的情況下�����。
三是完善網(wǎng)頁代碼的編寫����。以上這種攻擊��,又被稱之為XSS攻擊�����。XSS攻擊其主要采用的是頁面文件編寫不完善所造成的。為此一般很難通過現(xiàn)有的安全產(chǎn)品(如防火墻等等)來解決����。其最直接的方式就是對企業(yè)現(xiàn)有的Web頁面文件進行完善。筆者這里建議��,在編寫Web頁面文間時����,最好采用多層式的編碼結(jié)構(gòu)。這可以在很大程度上完善頁面文件���,以提到防范XSS攻擊的目的�����。筆者再強調(diào)一下,針對這種攻擊�����,通常情況下的安全防護工具并不能夠起到很大的效果�。
四是需要仔細分析日志。從企業(yè)的網(wǎng)站日志中�,一般會詳細記錄訪問的相關(guān)信息。如用戶的訪問地址等等。在上面的攻擊原理中���,我們會發(fā)現(xiàn)����,當超鏈接被更改后�����,攻擊者會利用一個假冒的網(wǎng)頁去打開目標網(wǎng)頁?���,F(xiàn)在如果通過日志發(fā)現(xiàn),很多訪問者都是來自相同的地址(仿冒的訪問者)�����,那么就可以判斷這些訪問存在著異常的情況���。此時Web安全人員就需要仔細核對相關(guān)的內(nèi)容����,判斷是哪里存在問題����。
五是選擇一跨好的網(wǎng)頁開發(fā)工具�。上面筆者談到過��,發(fā)生這種工具很多情況下是由于Web頁面自身的漏洞所造成的�。對于一個比較復(fù)雜的網(wǎng)頁,要通過手工檢查來發(fā)現(xiàn)這些漏洞����,具有一定的難度。其實在選擇網(wǎng)頁開發(fā)工具時���,我們可以有意識的選擇一些安全性比較高的開發(fā)平臺���。如VS2010等等。這些平臺往往會帶有一些安全自檢工具����。通過這些工具,可以發(fā)現(xiàn)網(wǎng)頁頁面中存在的已知漏洞�����。在發(fā)布之前就做好相關(guān)的安全自檢工具��,就能夠?qū)⑦@種攻擊檔在門外����。
其實上面的這些安全措施主要體現(xiàn)了兩個原理。一是攘外必先安內(nèi)����。要避免外部的工具,就需要先保障自身的安全�。俗話說,蒼蠅不叮無縫的雞蛋���。如果頁面文間本身不存在安全問題����,這種攻擊也只能夠望洋興嘆了�。二是要最后追蹤與分析工作。任何攻擊都有跡象可循�����。及早發(fā)現(xiàn)攻擊的跡象���,并將其扼殺在萌芽狀態(tài)�����,可以減少受影響的用戶����。亡羊補牢,為時未晚����。
