根据权威部门的调查结果,现在信息安全攻击有75%以上都是发生在Web应用层面而非网络层面。可见Web安全对于企业信息化数据的重要性。而这近8成的攻击几率中,木马无疑是排在前面几位的。不过木马只是一种病毒,其在Web网页中传播,也需要通过一定的媒介。就像非典病毒可以通过唾沫传播一样,需要唾沫这种载体。这其中,跨网站脚本攻击就是木马常用的攻击手段。在这篇文章中,笔者就谈谈跨站脚本攻击的特点以及相关的预防措施,帮助大家来减少Web木马多带来的危害。
一、跨站脚本攻击的特点解析
跨站脚本攻击域其他攻击手段不同(如SQL注入式攻击),其是通过Web业务系统所提供服务的客户端。简单的说,就是通过普通用户的客户端,而不是直接通过服务器来发起攻击的。众所周知,可以在Web服务器的周边搭建很多安全设备来提高其安全性。但是客户端有千千万万,而且使用客户端的用户计算机水平又相差很大,要确保每个客户端的安全是不可能完成的任务。现在跨站脚本攻击绕开服务器,从客户端出发,显然其攻击的成功率相比其他攻击手段来说,就会高许多。
那么跨站脚本攻击是如何实现的呢?其实攻击的原理也很简单,没有大家想象的那么复杂。攻击者可以在网页中加入恶意代码或者木马,当访问者浏览网页时这个恶意代码就会悄无声息的执行,或者通过向管理员发送信息的方式诱使管理员浏览这个网站,从而获得管理员的帐户信息,并进一步取得管理员的权限,从而实现控制整个网站的目的。当其具有管理员的权限之后,那么攻击者就可以进一步窃取信息、篡改网页、种植木马等攻击行为了。
根据以前发生的跨站脚本攻击案例来看,其后果是相当严重的。如有些攻击者利用跨站请求伪造能够抢播用户的浏览器发出非故意的HTTP请求,如具有诈骗性质的电汇请求和下载非法的内容(如木马与病毒)等等请求。再如,还可以盗取用户的各类帐户(如邮箱帐户、ERP系统帐户、服务器帐户)、窃取或者删除企业数据、窃取具有商业价值的资料。更有甚者,攻破了企业的邮箱之后,利用企业的邮箱向客户发送大量的垃圾邮件或者带有病毒的邮件。这大大损害了企业的形象。可见,跨站脚本攻击不仅威胁程度大、涉及面广(可以影响到邮箱、服务器、Web网页等等各种应用),同时结合其他攻击方法,其攻击的过程也就复杂多变,很难预防。
可见,跨站脚本攻击与其它攻击手段相比,主要的特点就是其攻击目标选择的不同。其实通过“明修栈道、暗渡陈仓”的策略。不直接攻击服务器,而是从客户端出发来进行攻击。为此其危害性更大、灵活性更高。
二、跨站脚本攻击与Web木马之间的关系
在文章一开头,笔者就谈到过,跨站脚本攻击是Web木马常用的载体之一。那么他们两个之间到底有什么关系呢?或者说,是如何配合工作的呢?了解这些信息,对于我们采取恰当的预防方式,具有很大的帮助。毕竟再高明的医生,也需要先了解病人的病情,才能够对症下药。
跨站脚本攻击主要是通过以下几种方式来传播木马的。
一是通过邮件的形式。通过上面的分析我们知道,跨站脚本攻击成功之后,可以劫持企业用户的邮箱。然后通过企业用户的邮箱发送邮件,包括垃圾邮件和带有木马的邮件。客户收到邮件后,看到邮件地址是自己某个合作伙伴的,就放心大胆的阅读。由于邮件地址是合法的,为此一些防病毒工具也很难发觉。此时如果在邮件中带有木马,那么当用户打开邮件时,木马就会成功种植在客户端上。然后这台客户端再去影响其它的用户。周而复始下去,最后受到影响的客户端会越来越多。从而达到木马传播的目的。
二是直接通过网页来传播木马。当跨站脚本攻击攻破某个网站之后,就可以拥有这个网站的控制权县。在这种情况下,要在某个网站上加入一些木马,是轻而易举的事情。如跨站脚本攻击,比较喜欢在一些重要活动的前夕,攻击负责这个活动的官方网站,然后在这些网站上放上一下木马。他们为什么喜欢这么做呢?这主要是因为很多网站是为这些活动而临时创建的或者进行来重大的调整,为此漏洞会比较多、安全措施也没有做到位,攻击的成功率会比较高。另外一方面的原因是,此时这个网站的访问率会比较高。那么木马的传播速度也会快许多。
总之,Web木马就好像是一种瘟疫,其传播的速度非常的快,也非常的容易感染。那么有没有有效的疫苗呢?说实话,由于木马的变异比瘟疫病毒的变异要快许多,所以到现在为止,还没有有效的疫苗能够用来防止Web木马。不过如果在实际工作中,我们切实做好相关的安全措施,那么仍然可以将跨站脚本攻击的危害控制在可以忍受的范围之内。
二、跨站脚本攻击的应对措施
那么该采取什么样的应对措施呢?对此笔者给出以下几个意见,供大家参考。
一是采取的防火墙等安全产品,最好支持一些智能的算法,即可以根据某个特定的规则来发现可疑的还未确认的木马。这主要是因位Web木马的变异性太快。如果等到确认了再进行预防的话,那么中招的客户端已经不在少数了。现在有不少的算法都带有一定的智能分析功能。如VXID算法,就是一种将规则分析和异常分析相结合的技术。这里的规则指的是建立虚拟机检测规则的过程,而异常分析指的就是符合Web攻击模型的可疑行为。这种算法主要的核心工作就是信息收集,然后再收集的信息的基础上进行分析、判断是否有新变异的木马,然后得出具有针对性的判断结果。不过其往往只是将这种可疑的情况汇报给管理员,最终还是需要管理员根据经验与技术来判断,这种可疑的行为到底是否是木马。
二是需要加强日常的监控。如需要设置一些警告的规则,当出现意外情况时,即使像管理员报告。如管理员可以根据历史的数据,分析出企业平均每分钟发邮件的数量。众所周知,发垃圾邮件或者木马邮件,其往往采用的是群发或者自动发送的机制,其一分钟之内一个账号发送的邮件就可以达到几百封、甚至是上千封。正常情况下,企业邮件的发送数量是达不到这个程度的。那么就可以设置对应的规则,当出现这种意外的情况时,暂时停止邮件的转发,并通过相关的手段向管理员发送警报。对于Web网站来说,也是相同的道理,需要加强监控。特别是需要分析网页中有没有其他非经授权的用户添加了代码,或者网页有没有自动连接其他网站的行为。这些都可以通过相关的工具或者事件日志分析出来。
总之,跨站脚本攻击与Web木马结合,虽然具有多变性等特点。但是只要我们最好日常的防护措施,并提高安全意识,还是可以将其消除在萌芽状态的。或者说,至少可以将其损失降低到可以接受的范围之内。