躲避病毒链接袭击

　　事件回放：某银行科技处处长杨女士，正在为这样的一起客户投诉头疼不已：一网银用户接到收到一封网银活动通知邮件，点击后居然发现被防病毒软件报出存在木马。

　　这封邮件内容是银行这段时间正在搞的一个小调查活动，点击“参加活动”按钮后，防病毒软件马上发出病毒报警。银行方面分析后得知，这是一封伪造的活动邮件，黑客伪造了“参加活动”按钮后的URL链接，用户点击后，虽然会进入活动页面，但同时也会被链接到一个恶意站点下载木马，这就是防病毒软件报警的原因。

　　大量案例表明，如果出现网页链接带有病毒的现象，无外乎有以下两种可能。第一，网站所有者故意在页面嵌入恶意代码：常见于私人小站。为了牟取私利，有些站长故意在网站页面中嵌入恶意代码，以窃取访问者的信息。一般来说，企业用户不会存在这种情况。

　　第二，黑客攻击网站获取权限后，在正常页面中添加恶意代码，这也就是常提到的XSS跨站脚本攻击。根据此前美国“Black Hat”大会透露的信息，XSS已经成为当前Web应用中最频发的安全漏洞。实施上，XSS允许恶意Web用户将代码植入到提供给其它用户使用的页面中。这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的钓鱼攻击而变得广为人知。

　　记者发现，目前跨站脚本漏洞主要是由于没有对所有用户的输入进行有效的验证所造成的，它影响所有的Web应用程序框架。另外，张鸿文也介绍说，当前XSS攻击会有两种常见的形态，存储式攻击和反射式攻击。

　　存储式XSS：这是最常见的XSS类型，黑客将攻击脚本上传到Web服务器上，使得所有访问该页面的用户都面临信息泄漏的可能，其中也包括了IT管理员;反射式XSS：当Web客户端使用Server端脚本生成页面为用户提供数据时，如果未经验证的用户数据被包含在页面中而未经HTML实体编码，客户端代码便能够注入到动态页面中。上面的案例中，杨女士所遭遇到的就是这种反射式的XSS攻击。

　　最后，万卿强调说，和其他常见攻击行为一样，XSS攻击在网上也有许多免费工具，如sessionIE、Webscan、XSS Inject Scanner，利用这些软件的黑客同样会在系统日志中留下蛛丝马迹。实际情况是，还有一种更直接的方法就是检查页面源代码，看是否有不相干URL等字符串出现，如某页面源文件中存在与页面功能无关的代码，就很有可能是发生了XSS攻击。

　　记者早先曾在《安全分析中的趋势命题》一文中指出，由于XSS攻击的直接受害者往往并不是网站所有者，而是访问受攻击网站的普通用户，所以，经常会出现普通用户发现网站已经被黑客攻击，而网站的管理人员仍一无所知的情况。对于一些依靠网站开展业务的企业来说(如金融机构、电子商务企业等)，做好前期检查服务，是一项非常重要的工作。

　　对此专家的看法是，XSS攻击的后果很难直接发现，比如上面案例中如果黑客加入的攻击字符串不是网页木马，而是窃取Cookie信息的话，用户在遭受攻击时将会完全没有表现症状，这种威胁将更加的危险。一种常用的方法是，定期开展网页挂马监测，检查网站页面是否含有恶意代码。当然，如果按照更加完备的PDR模型进行处理，也可以在很大程度上阻击XSS攻击。