黑客Web欺骗的工作原理和解决方案

　2006-11-06 19:58:36　来源：WEB开发网　　　

核心提示： 关于“安全连接”我们都知道为了提高Web应用的安全性，有人提出了一种叫做安全连接的概念，黑客Web欺骗的工作原理和解决方案(6)，它是在用户浏览器和Web服务器之间建立一种基于SSL的安全连接，可是让人感到遗憾的是，这样，受攻击者可以注意到显示 www.org ，它

关于“安全连接”

我们都知道为了提高Web应用的安全性，有人提出了一种叫做安全连接的概念。它是在用户浏览器和Web服务器之间建立一种基于SSL的安全连接。可是让人感到遗憾的是，它在Web欺骗中基本上无所作为。受攻击者可以和Web欺骗中所提供的错误网页建立起一个看似正常的“安全连接”：网页的文档可以正常地传输而且作为安全连接标志的图形（通常是关闭的一把钥匙或者锁）依然工作正常。换句话说，也就是浏览器提供给用户的感觉是一种安全可靠的连接。但正像我们前面所提到的那样，此时的安全连接是建立在 www.org 而非用户所希望的站点。

攻击的导火索

为了开始攻击，攻击者必须以某种方式引诱受攻击者进入攻击者所创造的错误的Web。黑客往往使用下面若干种方法。

1把错误的Web链接放到一个热门Web站点上；

2如果受攻击者使用基于Web的邮件，那么可以将它指向错误的Web；

3创建错误的Web索引，指示给搜索引擎。

Web欺骗的细节完善

前面描述的攻击相当有效，但是它还不是十分完美的。黑客往往还要创造一个可信的环境，包括各类图标、文字、链接等，提供给受攻击者各种各样的十分可信的暗示。总之就是隐藏一切尾巴。此时，如果错误的Web是富有敌意的，那么无辜的用户将处于十分危险的境地。

另外，黑客还会注意以下方面。

1. 状态线路

连接状态是位于浏览器底部的提示信息，它提示当前连接的各类信息。Web欺骗中涉及两类信息。首先，当鼠标放置在Web链接上时，连接状态显示链接所指的URL地址，这样，受攻击者可能会注意到重写的URL地址。第二，当Web连接成功时，连接状态将显示所连接的服务器名称。这样，受攻击者可以注意到显示 www.org ，而非自己所希望的站点。

上一页 1 2 3 4 5 6 7 下一页