反黑风暴-第21章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！



第六章　网络钓鱼防范工具

网络钓鱼攻击从防范的角度来说可以分为两个方面，一个方面是对钓鱼攻击利用的资源进行限制，一般钓鱼攻击所利用的资源是可控的，如WEB漏洞是Web服务提供商可以直接修补的、邮件服务商可以使用域名反向解析邮件发送服务器提醒用户是否收到匿名邮件。

另外一个方面是不可控制的行为，如浏览器漏洞，用户必须打上补丁防御攻击者直接使用客户端软件漏洞发起的钓鱼攻击，各个安全软件厂商也可提供修补客户端软件漏洞的功能。

同时，各大网站有义务保护所有用户的隐私，有义务提醒所有的用户防止钓鱼，提高用户的安全意识，从两个方面积极防御钓鱼攻击。

下面将介绍几种能够防范网络钓鱼的工具。

1．360安全卫士

最新版本的360安全卫士中内置了360网盾，它是一款免费好用的全功能的上网保护软件，能够全面防范用户上网过程中可能遇到的各种风险，里面自带的防范网络钓鱼功能可以有效检测并拦截假冒的银行、彩票和购物等欺诈网站。

360网盾中的防范网络钓鱼功能的使用方法如下：

步骤01安装并运行“360安全卫士7。3”，即可进入其主窗口中，单击主窗口上方的“网盾”按钮。

步骤02此时，即可弹出【360网盾】窗口，在“上网保护”选项卡下的网盾监控列表中单击“拦截欺诈网站，网购不受骗”后的“开启”按钮，即可打开钓鱼、欺诈网站拦截功能。

步骤03在打开钓鱼、欺诈网站拦截功能后，当用户浏览到钓鱼网站时，系统会自动拦截访问的网站，避免被其攻击。另外，用户还可以在【360网盾】窗口中的“拦截历史”选项卡下查看360网盾拦截的网页威胁记录。

步骤04单击【360网盾】窗口右上方的按钮，在其下拉列表中选择“设置”选项，可打【360网盾…设置】对话框。在“基本设置”选项卡中可设置是否提示拦截到的网页、是否开启URL云查询功能、是否自动上传可疑代码到360安全中心，在设置完成后单击【确定】按钮即可。

步骤05在【360网盾…设置】对话框中选择“已拦截网站”选项卡，在文本框中输入要拦截的网站，如//hao123。，单击“设为拦截”按钮，即可将该网站添加到“已拦截网站列表”中。

步骤06将要拦截的网站添加到“已拦截网站列表”中后，当用户访问到钓鱼网站或列表中的站点时，会自动弹出拦截提示访问页面，阻止用户继续访问危险站点。

2．IE7。0

IE7。0浏览器开始加入反钓鱼功能，这个功能成为浏览器安全功能的一个选项…仿冒网站筛选器。当我们访问一个网站时，反钓鱼检测机制便开始自动工作，验证网站的真实性。

下面介绍使用IE7。0浏览器防范网络钓鱼的方法。

步骤01打开IE7。0浏览器，选择【工具】→【Inter选项】菜单项，即可打开【Inter选项】对话框。在其中选择“高级”选项卡，在“设置”列表框中的“安全”选项区域中选择“仿冒网站筛选器”下的“打开自动网站检查”单选按钮。

步骤02单击“确定”按钮，即可开户反网络钓鱼功能（IE7。0默认没有开启反钓鱼功能）。

步骤03开启反钓鱼功能后，在浏览网页时，在IE状态栏上将会有一个蓝色的小盾牌样式的图标。如果用户访问到钓鱼网站，IE浏览器将会给出警告。

步骤04单击状态栏上的盾牌图标，在弹出的快捷菜单中选择“检查此网站”选项，即可弹出【仿冒网站筛选】对话框，在其中检测当前网页是否为钓鱼网站。

步骤05单击【确定】按钮，浏览器将向微软发送网站信息。过一会儿，会返回检查信息，提示该网站是否为仿冒的钓鱼站点。

3．反钓鱼插件craftToolbar

“网络钓鱼”越来越猖獗，稍微不小心就会被以假乱真的伪造网站骗走重要的个人信息或密码。craftToolbar这个IE外挂程序是一款专业的反钓鱼软件，可显示当前浏览网站的各种信息和风险评估，自动阻止钓鱼网站的进入，并且可及时的向用户发布漏洞预警，以防备钓鱼或恶意病毒的侵入。

craftToolbar以浏览器插件的形式安装，支持IE浏览器和FireFox浏览器。下面介绍该工具的安装及使用方法：

步骤01打开IE浏览器，在地址栏中输入安装网址“//toolbar。craft。/install”，并单击“转到”按钮，即可打开网站。

步骤02在该网站中选择相应的浏览器版本，比如单击“InterExplorer6＋”按钮，即可弹出“文件下载”对话框。

步骤03单击“保存”按钮，即可开始下载craftToolbar插件。下载完毕后，会弹出【安全警告】对话框。

步骤04单击“运行”按钮，即可开始安装craftToolbar插件。在弹出的【WeletocraftToolbarSetupWizard】对话框中单击【Next】按钮。

步骤05在弹出的【LicenseAgreement】对话框中选择“IAgree”单选按钮，并单击【Next】按钮。

步骤06在弹出的【SelectInstallationFolder】对话框中单击【Browse】按钮，在弹出的对话框中设置craftToolbar插件的安装位置。

步骤07单击【Next】按钮，即可弹出【ConfirmInstallation】对话框，在其中告诉用户准备在计算机中安装craftToolbar插件。

步骤08单击【Next】按钮，即可开始自动安装craftToolbar插件。

步骤09安装完成后，即可弹出【Installationplete】对话框。单击【Close】按钮，关闭对话框即可。

步骤10打开IE浏览器，在IE工具栏上右键单击，在弹出的快捷菜单中选择“craftToolbar”选项。

步骤11此时，即可在工具栏中显示craftToolbar工具条。当用户访问某个网站时，工具条中会显示此网站的信息。

当打开网站“//news。craft。”时，工具条中显示了该网站的信息，其中“Since”显示的是网站的建立时间，“Rand”中显示的是网站的世界排名。由于网站的建立时间都非常短，而且排名非常靠后，因此，通过时间和排名信息可判断网站的真伪。

7。6　专家课堂（常见问题与解答）

点拨1：如何使用TeleportPro工具的代理服务器（ProxyServer）下载文件？

解答：选择【File】→【Proxyserver】菜单项，即可打开【Proxyserver】对话框。选中最上边的连接复选框后，在“Address”文本框中输入代理器的IP地址，单击【OK】按钮，即可使用代理服务进行文件下载。通常使用局域网的用户要通过代理服务器才能进入Inter，利用TeleportPro下载文件必须使用此设置。

点拨2：除Hosts文件的映射劫持和内网中的DNS劫持外，还有哪些网站劫持钓鱼技术？

解答：除这两种劫持钓鱼技术外，还有“浏览器劫持”和“搜索引擎的SEO劫持钓鱼”。其中浏览器劫持是一种不同于普通病毒木马感染途径的网络攻击手段，它主要通过BHO、DLL插件、Hook技术等载体达到对用户的浏览器进行篡改的目的。

这些载体可以直接寄生于浏览器的模块里，成为浏览器的一部分，从而直接操纵浏览器的行为，并将用户带到钓鱼站点；而搜索引擎的劫持钓鱼是通过搜索引擎提高我们伪造站点的搜索排名，从而带来更多的流量，同时带来更多有针对性的被钓者。

第一章　常见XSS代码分析

要触发跨站脚本攻击，必须要先从了解HTML语言开始。在最初的XSS攻击中，攻击者就是通过闭合表单赋值所在的标记，形成完整无错的脚本标记，才触发XSS的。

在以后的发展中，XSS代码通过不断地改进来避开程序员的过滤，从而进行攻击。本节将介绍几种常见的XSS代码，并对其进行详细的分析。

8。1。1闭合“”

在HTML中，一个最常见的应用就是超级链接的代码：

好123网

假如在某个资料表单的提交内容中来进行上面语句的XSS，攻击者可以用下面的语句来闭合HTML标记，并构造出完整无错的脚本语句：》alert（‘XSS’）；《

提交上面的代码闭合HTML代码后，会出现如下代码：

alert（‘XSS’）；XSS测试

这就是一个简单的跨站脚本攻击。为了看到详细的跨站效果，我们可以直接在本地电脑中新建一个记事本文档，然后在其中输入上面的代码，并将其扩展名直接更改为html。双击该文件，直接运行后即可看到弹出的XSS提示。≮我们备用网址：≯

8。1。2属性中的“javascript：”

由于闭合表单赋值所在的标记，形成完整无错的脚本标记，即可触发XSS。如果没有脚本标记应怎样触发XSS呢？下面将介绍针对没有脚本标记的情况触发XSS的方法。

对于一些没有脚本标记的情况，攻击者需要使用其他标记进行闭合表单赋值所在的标记。比如，要在网页中显示一张图片，一般情况下会使用“”来定义，其具体的语句如下：



其中，“img”并不是真正地将图片加入到html文档里，而是通过“src”属性赋值。浏览器的任务是解释这个“img”，过程是访问“src”属性值中的URL地址，并为用户输出图片。但浏览器并不会主动检测这个“src”属性的相关值，这样，那些攻击者就有机可程了。

Javascript有一个URL伪协议，可以使用“javascript：”加上任意的javascript代码，当浏览器装载这样的URL时，便会执行其中的代码。这样，攻击者在某表单可以提交内容，并且没有过滤字符的情况下，就可以通过提交参数实现另一个跨站脚本攻击：



按照上一节中介绍的方法在记事本中输入上述代码并运行，页面中将会弹出一个提示框，提示框里面的内容就是上面代码中（‘测试’）语句的内容，即测试。

8。1。3事件类XSS代码

“img”有一个可以被XSS利用的onerror（）事件，当“img”含有一个onerror（）事件，而正好图片没有正常输出时，即可触发。且触发后可加入任意脚本代码，其中的代码也会被执行。代码的内容：

8。1。4编码后的XSS代码

从上面的几节内容中可以看出，攻击者要想进行XSS攻击，其实非常容易，这使许多网站都受到这种攻击。为了让攻击者无法构造XSS，一些程序员开始在脚本中过滤一些javascript的关键字符，如“&”和“”。但由于浏览器大多默认采用unicode编码，因此，这样的过滤并不能阻挡攻击者发起跨站脚本攻击。而在此基础上，HTML编码可以用“&#”＋ASCII码的方式来提交，浏览器同样是认识且会执行的。

XSS转码只需要针对属性所赋予的值进行即可，如将下面的XSS代码：



经过“&#”＋ASCII码的方式处理后，可变成如下的代码：



这是利用十进制转码后的代码，执行该代码后。

第二章　一个典型的跨站攻击实例

黑客进行XSS攻击的前提是需要先向Web页面中写入恶意HTML代码，写入代码的方法很多，比如最常见的是在论坛中发贴时，在帖子中写入可执行的代码；或者在网站的用户资料修改处，也可以通过更改签名、联系方式等，在用户信息页面中嵌入脚本代码。但无论采用哪种方式写入执行代码，都要求网页程序没有对用户输入的数据进行严格的过滤，否则就无法写入执行。

因此，造成跨站攻击的主要原因就是由于网站服务器端的程序，对客户的输入不进行有效验证，这样攻击者才有机会输入一些恶意的Script程序代码。

由于动态网站依赖于用户的输入，所以黑客可以通过把恶意脚本隐藏在合法请求中，将恶意脚本输入网页。一旦实现XSS攻击，黑客可以任意更改用户的设置、盗取账号、访问受限制的网站等操作。

XSS攻击分成两类，一类是来自内部的攻击，主要指的是利用程序自身的漏洞，构造跨站语句，如：DVBBS的showerror。asp存在的跨站漏洞。另一类则是来自外部的攻击，主要指的是自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如果发现某个网站存在跨站漏洞，如Q…Zone个人空间名称跨站漏洞，黑客就可以通过编制一些窃取网页浏览用户的Cookie内容代码，来获取Cookie