當網(wǎng)站成為黑客熱愛的攻擊的目標,也成為散播惡意程序的跳板,企業(yè)蒙受的風險與損失隨之擴大,也會讓網(wǎng)站使用者受到波及。
目前Google開始在搜尋結果中加入提醒字符串,標示受駭?shù)木W(wǎng)站,對企業(yè)而言,更可能因此流失用戶。
如何在這波「網(wǎng)駭/害」烽火中生存,最重要的是必須正視問題的嚴重性,在網(wǎng)站開發(fā)與維運階段提升安全意識。另外,也可藉由導入自動化工具的方法提升安全性,如果資安預算有限,至少找出企業(yè)能負荷的安全防護底線,保障企業(yè)網(wǎng)站與用戶的安全。
治標:監(jiān)控網(wǎng)頁異動,立即回復
黑客有許多攻下網(wǎng)站的手法,但以修改網(wǎng)頁進行偷渡惡意程序的手法而言,最終必須修改網(wǎng)頁才能達到目的,因此監(jiān)控網(wǎng)頁便是IT人員可以應變黑客攻擊的方法。
黑客修改網(wǎng)頁時,對于檔案的大小、網(wǎng)頁的最后修改時間都會造成影響,因此IT人員可以自行撰寫程序,比對網(wǎng)站最近一次修改檔案的大小或日期和在線檔案是否一致,一旦有出入,就代表有異常,這時就可以進一步檢視檔案是否有不明的iframe或JavaScript語法指向外部網(wǎng)站,藉此判定是否已經(jīng)遭到黑客 攻擊。萬一遭到攻擊的話,則必須先做好證據(jù)保存的動作,再將網(wǎng)站復原成未入侵前的狀態(tài)。
市面上有針對網(wǎng)站的監(jiān)控與復原動作提供自動化解決方案的產(chǎn)品,這類產(chǎn)品通常能做到實時化的監(jiān)控與通報機制,當網(wǎng)站遭到竄改時,立即復原成原先頁 面,就能阻擋在網(wǎng)頁中植入程序代碼的攻擊方式,入侵的記錄也會保留住。網(wǎng)頁監(jiān)控與復原產(chǎn)品通常也能保護檔案服務器上的檔案,如果黑客企圖刪除或更改文件時,系統(tǒng)便會實時復原。
這類產(chǎn)品的價格通常在數(shù)萬元到十幾萬元,以資安的產(chǎn)品而言相對較低,對于規(guī)模較小的企業(yè)較能負擔,但它能做便是保持網(wǎng)頁不被竄改更動,乍看之下成功的抵擋目前這波新興的黑客攻擊手法,然而它終究只是治標之道。
雖然黑客不能竄改網(wǎng)頁內(nèi)容,但畢竟已經(jīng)登堂入室,取得修改網(wǎng)頁的權限,這意味著黑客也能將數(shù)據(jù)帶走,或者不使用修改網(wǎng)頁程序代碼的方式,繞道透過SQL Injection的攻擊手法,將數(shù)據(jù)庫中的內(nèi)容帶走。
因此不論企業(yè)自行撰寫程序或采用自動化產(chǎn)品來監(jiān)控與復原網(wǎng)頁,都必須明白它的限制在于提供消極的解法,只保護住網(wǎng)頁,但黑客進攻的漏洞沒有找出來修補,攻擊仍會發(fā)生。
解析iFrame攻擊手法
對黑客而言,如何讓使用者毫無警覺,下載惡意程序到使用者的計算機,才能達到黑客之后的目的,例如竊取賬號、密碼或植入傀儡程序。
利用HTML語法中的iframe語法,即是一個極常見的手法。iframe設計的目的,是讓設計人員能在網(wǎng)頁中嵌入頁框,而頁框中可以加載另一個頁面,透過這種方式可以設計出更為彈性的網(wǎng)頁功能。
但iframe到黑客手中,就有了不一樣的玩法。只要在iframe屬性將寬與高設定為「0」時,被呼叫的頁面一樣會執(zhí)行,但不會顯示在網(wǎng)頁上。這種宛如替網(wǎng)頁穿上隱身衣的作法,就會在使用者瀏覽被駭網(wǎng)站時,神不知鬼不覺地執(zhí)行藏在隱身頁面中的語法。
由于iframe手法太過盛行,而且具有明顯的辨識特征,于是就有變種的方式出現(xiàn),利用JavaScript語法改寫呼叫手法,再混進網(wǎng)頁原有JavaScript中,增加發(fā)掘的難度。
一般而言,瀏覽器如果設定適當?shù)陌踩缘燃,惡意程序在下載或執(zhí)行時會出現(xiàn)警告訊息,但如果黑客利用安全漏洞,就有機會在不用任何詢問下安裝惡意程序。
比起自行偽造網(wǎng)站容易被人識破,黑客會挑選流量大或知名網(wǎng)站作為散播的源頭,成功率較高。黑客會嘗試由各種可能的管道入侵,例如網(wǎng)頁應用程序本身的缺陷或 是未更新的漏洞。Google強大的搜尋能力,更是助長黑客能取得更多沒有作好設定的網(wǎng)站,透過一些關鍵詞往往能查出系統(tǒng)信息或可能的弱點,而讓黑客可以 取得修改網(wǎng)頁的權限。
因此當企業(yè)發(fā)現(xiàn)網(wǎng)站被植入惡意程序時,已經(jīng)是黑客攻擊手段的最后階段,它只是表面上最容易發(fā)現(xiàn)的跡象,事實上,系統(tǒng)或網(wǎng)站應用程序必然存在漏洞,讓黑客得以順藤摸瓜,進而修改網(wǎng)頁。