Web应用客户端木马战情景分析

对于一些银行，进行一次转帐需要两个步骤。首先，您要提供全部转帐细节：转出方帐户和转入方帐户，金额，支付日期等等，所有这些信息都被临时存放在该用户的会话session中。收集这些信息之后，银行还有一个确认的步骤，即要求用户验收这些交易细节。请不要认为这些银行在客户端木马战面前会比那些自动化的银行更加安全一些。这些站点可能会像一步式的站点那样容易被骗：根据确认步骤的实现方式，设法让受害者浏览包含多个框架(frame)的站点，每个框架对应于一个步骤，如下所示：

<framesetrows="50%,50%">
<framesrc="http://www.badguy.com/info.html"/>
<framesrc="http://www.badguy.com/confirm.html"/>
</frameset>

文件info.html中有一个自动提交的填有交易细节的表单;而文件confirm.html则存放一个提交确认页面的脚本，但是要等待适当的延迟，以确保确认消息在info.html之后到达服务器。至于其他的，我想就没有必要再多说了吧。

无论攻击者选择什么方法，只要被害者看到由这次转帐引起的页面，就会引起他的怀疑。解决这个问题的方法是把这个页面嵌入一个小到不会引起人们注意的框架(frame)中，并在另外一个框架(frame)中放上一些伪造的信息。如果目标站点的某些地方没有进行HTML输出过滤的话，那么还有一个办法，那就是转帐一旦完成，就立即通过跨站脚本把浏览器重定向到另一个页面

二、客户端木马问题的实质

目前的大多数站点，包括网上银行、网上商店、论坛和网上书店都都易于受到某种客户端木马骗术的攻击，之所以这样说，是因为他们都缺乏相应的保护机制。要想弄明白如何设计一个没有此类弱点的web站点，我们首先需要熟悉问题本身。