我记得最近在网上读到过,电脑上大量间谍软件都是通过信誉良好的网站传播的,这真是令人惊讶;你不必访问互联网上的“不良社区”就会受到感染。这是真的吗?如果是真的,在哪里/如何记录的?
答案1
是的,这是一种更常见的情况,我唯一的记录就是我的反间谍软件日志,其中显示恶意下载尝试被拒绝,而虚拟机上的 html 页面源分析显示网站上存在 iframe 注入代码。
如果 Wordpress 没有得到适当的维护或保护,就意味着您将面临风险,当您访问信誉良好的博客网站时,它只会被发送到一些感染引擎,该引擎会对您的系统进行非常彻底的扫描,以查找最有可能的漏洞应用程序。
跨站点脚本也被使用,并且您所在的站点甚至不必受到攻击或黑客攻击即可运行。
答案2
我读到的关于此事的唯一文档来自反恶意软件或病毒扫描程序公司。(这些公司应该是调查此事的公司,但这也让我怀疑他们发布的任何内容,因为这对他们有利。正如我们荷兰人所说“我们 WC-Eend 向 ...... 推荐 WC-Eend”)。
然而,恶意软件至少可以通过三种方式通过信誉良好的网站进行传播:
- 网站被入侵了。这种情况时有发生。不常见,但有时会发生。通常是因为网站软件没有更新或更新不够快。(已知漏洞可以在被发现的当天被利用。因此您需要检查邮件列表并每天更新。不是每个人都这样做,这意味着通常存在一个漏洞窗口。
- 该网站运行来自其他网站的脚本。例如广告横幅。它从远程位置包含这些脚本并且无法控制这些。然后远程站点被黑客入侵并且信誉良好的站点包含他们的代码。
- 与第 2 点类似。但添加服务器决定更改其代码以获取其优势。(例如,在 LiveJournal 中提供过一段时间的模糊 java 脚本标头)。
如果你想查看某个网站是否使用了网站本身以外的其他服务器的软件,请尝试请求策略Firefox 插件。它将让您了解脚本和其他来源从其他网站调用的频率。
答案3
有一类应用程序安全漏洞被称为“存储型跨站脚本”,这通常意味着,当你访问一个网站(无论其声誉如何)时,一些代码不是由网站所有者设计的开始在您的计算机上执行。99.9999% 的时间里,开始执行的代码是 JavaScript。JavaScript 有时可以成功触发其他代码的执行,例如 Flash、Java 小程序、ActiveX 等。它们还可能导致弹出窗口、安装恶意跟踪 cookie 并获取您的屏幕尺寸、用户代理字符串、您来自的网站等信息,甚至可以设置跨框架脚本,这是一种相关攻击,您认为您正在与当前网站交互,但实际上正在与攻击者的网站交互。
这些攻击之所以发生,是因为网站允许未经验证的输入,然后稍后检索显示。有时这种情况是因为不安全的网络服务器,有时只是没有进行适当的输入验证。
这种做法在论坛、留言板和内容管理系统 (CMS) 网站的“评论”部分等网站上极为常见;基本上,任何用户可以输入自己数据的地方都是如此。事实上,Superuser 就是这种网站的一个例子。
有一些方法可以防御和/或防止这些攻击,但它们非常常见。开放 Web 应用程序安全项目表示存储型 XSS 是 2010 年排名第二的最危险应用程序安全漏洞。它为网站所有者提供了使用其测试来尝试测试其网站是否存在这些漏洞的方法,例如,这里。