一起过>电脑网络>网站网络>

    了解CSS挂马及相应防范方法

    时间:2010-08-14

    但如今交互式的Web2.0网站越来越多,允许用户设置与修改的博客、SNS社区等纷纷出现。这些互动性非常强的社区和博客中,往往会提供丰富的功能,并且会允许用户使用CSS层叠样式表来对网站的网页进行自由的修改,这促使了CSS挂马流行。

    小百科:
    CSS是层叠样式表(CascadingStyleSheets)的英文缩写。CSS最主要的目的是将文件的结构(用HTML或其他相关语言写的)与文件的显示分隔开来。这个分隔可以让文件的可读性得到加强、文件的结构更加灵活。

    黑客在利用CSS挂马时,往往是借着网民对某些大网站的信任,将CSS恶意代码挂到博客或者其他支持CSS的网页中,当网民在访问该网页时恶意代码就会执行。这就如同你去一家知名且证照齐全的大医院看病,你非常信任医院,但是你所看的门诊却已经被庸医外包了下来,并且打着医院的名义利用你的信任成功欺骗了你。但是当你事后去找人算账时,医院此时也往往一脸无辜。对于安全工程师而言,CSS挂马的排查是必备常识。

    CSS挂马攻防实录

    攻CSS挂马方式较多,但主流的方式是通过有漏洞的博客或者SNS社交网站系统,将恶意的CSS代码写入支持CSS功能的个性化页面中。下面我们以典型的CSS挂马方式为例进行讲解。

    方式1:

    Body

    “background-image”在CSS中的主要功能是用来定义页面的背景图片。这是最典型的CSS挂马方式,这段恶意代码主要是通过“background-image”配合t代码让网页木马悄悄地在用户的电脑中运行。

    那如何将这段CSS恶意代码挂到正常的网页中去呢?黑客可以将生成好的网页木马放到自己指定的位置,然后将该段恶意代码写入挂马网站的网页中,或者挂马网页所调用的CSS文件中。

    小百科:

    使用Body对象元素,主要是为了让对象不再改变整个网页文档的内容,通过Body对象的控制,可以将内容或者效果控制在指定的大小内,如同使用DIV对象那样精确地设置大小。

    上一页 1 23 下一页
  • 上一篇:五大网页恶意代码
  • 下一篇:三步搞定VPN服务器远程连接

    推荐内容

  • 京东不带https的页面被qutaobi劫持

    现在京东网站大多数页面都是自动打开https,安全链接,比较好。但有的时候也会打开不...

  • 微信使用知识介绍 微信段子分享

    一起过帮大家整理了有关微信的相关知识,一起了解下吧!...

  • 天猫积分有效期及用处介绍

    经常网购的朋友们应该很清楚啦,天猫积分的获得一般是你在天猫商城里面购物的时候,等...

  • 微信公众号怎么申请 流程方法介绍

    虽说微信公众号已成为企业、商家必不可少的一项营销手段,但很多人对于如何创建公众号...

  • 限时玩玩烧脑游戏有益大脑提高脑力

    限时玩玩烧脑游戏有益大脑提高脑力 电子游戏的本质之一是“主动学习”,它...

  • 做微商有没有技巧?朋友圈营销心得

    做微商首先要学会玩朋友圈,熟识你的人多了,才能慢慢推广业务。一般搞笑类说说浏览量...

首页常识美食医生旅游

笑话IT老人男女育儿
返回首页 | 电脑端