精华区文章阅读

发信人: first (匆匆), 信区: Network
标题: 黑客进行Web 欺骗的手段和预防措
发信站: 紫丁香 (Wed Sep 23 17:01:38 1998), 转信

---- 本文描述Internet 上的一种安全攻击，它可能
侵害到WWW 用户的隐私和数据完整性。这种攻击
可以在现有的系统上实现，危害最普通的Web 浏
览器用户，包括Netscape Navigator 和Microsoft Internet
Explorer 用户。

---- Web 欺骗允许攻击者创造整个WWW 世界的影像
拷贝。影像Web 的入口进入到攻击者的Web 服务器，
经过攻击者机器的过滤作用，允许攻击者监控
受攻击者的任何活动, 包括帐户和口令。攻击者
也能以受攻击者的名义将错误或者易于误解的
数据发送到真正的Web 服务器，以及以任何Web 服
务器的名义发送数据给受攻击者。简而言之，攻
击者观察和控制着受攻击者在Web 上做的每一件
事。

欺骗攻击

---- 在一次欺骗攻击中，攻击者创造一个易于误
解的上下文环境，以诱使受攻击者进入并且做
出缺乏安全考虑的决策。欺骗攻击就像是一场
虚拟游戏：攻击者在受攻击者的周围建立起一
个错误但是令人信服的世界。如果该虚拟世界
是真实的话，那么受攻击者所做的一切都是无
可厚非的。但遗憾的是，在错误的世界中似乎是
合理的活动可能会在现实的世界中导致灾难性
的后果。

---- 欺骗攻击在现实的电子交易中也是常见的
现象。例如，我们曾经听说过这样的事情：一些
西方罪犯分子在公共场合建立起虚假的ATM 取款
机，该种机器可以接受ATM 卡，并且会询问用户的
PIN 密码。一旦该种机器获得受攻击者的PIN 密码
，它会要么“ 吃卡”，要么反馈“ 故障”，并返回
ATM 卡。不论哪一种情况，罪犯都会获得足够的
信息，以复制出一个完全一样的ATM 卡。后面的事
情大家可想而知了。在这些攻击中，人们往往被
所看到的事物所愚弄：ATM 取款机所处的位置，它
们的外形和装饰，以及电子显示屏的内容等等。

---- 人们利用计算机系统完成具有安全要求的
决策时往往也是基于其所见。例如，在访问网上
银行时，你可能根据你所见的银行Web 页面，从该
行的帐户中提取或存入一定数量的存款。因为
你相信你所访问的Web 页面就是你所需要的银行
的Web 页面。无论是页面的外观、URL 地址，还是其
他一些相关内容，都让你感到非常熟悉，没有理
由不相信。但是，你很可能是在被愚弄。

---- 为了分析可能出现欺骗攻击的范围和严重
性，我们需要深入研究关于Web 欺骗的两个部分：
安全决策和暗示。

---- 安全决策

---- 安全决策，这里指的是会导致安全问题的一
类决策。这类决策往往都含有较为敏感的数据，
也就是意味着一个人在做出决策时，可能会因
为关键数据的泄露，导致不受欢迎的结果。很可
能发生这样的事情：第三方利用各类决策数据
攻破某种秘密，进行破坏活动，或者导致不安全
的后果。例如，在某种场合输入帐户和密码，就
是我们在此谈到的安全决策问题。因为帐户和
密码的泄露会产生我们不希望发生的问题。此
外，从Internet 上下载文件也是一类安全决策问
题。不能否认，在下载的文件当中可能会包含有
恶意破坏的成分，尽管这样的事情不会经常发
生。

---- 安全决策问题无处不在，甚至在我们通过阅
读显示信息做出决策时，也存在一个关于信息
准确性的安全决策问题。例如，如果你决定根据
网上证券站点所提供的证券价格购买某类证券
时，那么你必须确保所接收信息的准确性。如果
有人故意提供不正确的证券价格，那么不可避
免地会有人浪费自己的财富。

---- 暗示

---- WWW 站点提供给用户的是丰富多彩的各类信
息，人们通过浏览器任意翻阅网页，根据得到的
上下文环境来做出相应的决定。Web 页面上的文
字、图画与声音可以给人以深刻的印象，也正是
在这种背景下，人们往往能够判断出该网页的
地址。例如，一个特殊标识的存在一般意味着处
于某个公司的Web 站点。

---- 我们都知道目标的出现往往传递着某种暗
示。在计算机世界中，我们往往都习惯于各类图
标、图形，它们分别代表着各类不同的含义。富
有经验的浏览器用户对某些信息的反应就如同
富有经验的驾驶员对交通信号和标志做出的反
应一样。

---- 目标的名字能传达更为充分的信息。人们经
常根据一个文件的名称来推断它是关于什么
的。manual.doc 是用户手册的正文吗？它完全可以
是另外一个文件种类，而不是用户手册一类的
文档。一个microsoft.com 的链接难道就一定指向我
们大家都知道的微软公司的URL 地址吗？显然可
以偷梁换柱，改向其他地址。

---- 人们往往还会在时间的先后顺序中得到某
种暗示。如果两个事件同时发生，你自然地会认
为它们是有关联的。如果在点击银行的网页时，
username 对话框同时出现了，你自然地会认为你
应该输入你在该银行的帐户与口令。如果你在
点击了一个文档链接后，立即就开始了下载，那
么你很自然地会认为该文件正从该站点下载。
然而，以上的想法不一定都是正确的。

---- 如果你仅仅看到一个弹出窗口，那么你会和
一个可视的事件联系起来，而不会认识到一个
隐藏在窗口背后的不可视的事件。现代的用户
接口程序设计者花费很大的精力来设计简单易
懂的界面，人们感受到了方便，但潜在的问题是
人们可能习惯于此，不可避免地被该种暗示所
欺骗。

---- TCP 和DNS 欺骗

---- 除了我们将要讨论的欺骗手段外，还有一些
其他手段，在这里我们将不做讨论。这种攻击的
例子包括TCP 欺骗（在TCP 包中使用伪造的IP 地址）
以及DNS 欺骗（攻击者伪造关于机器名称和网络
信息）。读者有兴趣可以阅读有关资料。

Web 欺骗

---- Web 欺骗是一种电子信息欺骗，攻击者在其
中创造了整个Web 世界的一个令人信服但是完全
错误的拷贝。错误的Web 看起来十分逼真，它拥有
相同的网页和链接。然而，攻击者控制着错误的
Web 站点，这样受攻击者浏览器和Web 之间的所有
网络信息完全被攻击者所截获，其工作原理就
好像是一个过滤器。

---- 后果

---- 由于攻击者可以观察或者修改任何从受攻
击者到Web 服务器的信息；同样地，也控制着从Web
服务器至受攻击者的返回数据，这样攻击者就
有许多发起攻击的可能性，包括监视和破坏。

---- 攻击者能够监视受攻击者的网络信息，记录
他们访问的网页和内容。当受攻击者填写完一
个表单并发送后，这些数据将被传送到Web 服务
器，Web 服务器将返回必要的信息，但不幸的是，
攻击者完全可以截获并加以使用。大家都知道
绝大部分在线公司都是使用表单来完成业务
的，这意味着攻击者可以获得用户的帐户和密
码。下面我们将看到，即使受攻击者有一个“ 安
全” 连接（通常是通过Secure Sockets Layer 来实现
的，用户的浏览器会显示一把锁或钥匙来表示
处于安全连接），也无法逃脱被监视的命运。

---- 在得到必要的数据后，攻击者可以通过修改
受攻击者和Web 服务器之间任何一个方向上的数
据，来进行某些破坏活动。攻击者修改受攻击者
的确认数据，例如，如果受攻击者在线订购某个
产品时，攻击者可以修改产品代码，数量或者邮
购地址等等。攻击者也能修改被Web 服务器所返
回的数据，例如，插入易于误解或者攻击性的资
料，破坏用户和在线公司的关系等等。

---- 欺骗整个Web 世界

---- 你可能认为攻击者欺骗整个Web 世界是不可
能的，但是恰恰相反，攻击者不必存储整个Web 世
界的内容，他只需要制造出一条通向整个Web 世
界的链路。当他需要提供关于某个Web 站点的错
误Web 页面时，他只需要在自己的服务器上建立
一个该站点的拷贝，由此等待受害者自投罗网。

Web 欺骗的工作原理

---- 欺骗能够成功的关键是在受攻击者和其
他Web 服务器之间设立起攻击者的Web 服务器，这
种攻击种类在安全问题中称为“ 来自中间的攻
击”。为了建立起这样的中间Web 服务器，黑客往
往进行以下工作。

---- 改写URL

---- 首先，攻击者改写Web 页中的所有URL 地址，这
样它们指向了攻击者的Web 服务器而不是真正
的Web 服务器。假设攻击者所处的Web 服务器
是www.attacker.org，攻击者通过在所有链接前增加
http://www.attacker.org 来改写URL。例如，
http://home.netscape.com 将变
为http://www.attacker.org/http://home.netscape.com. 当用
户点击改写过的http://home.netscape.com（可能它仍
然显示的是http://home.netscape.com），将进入的是
http://www.attacker.org，然后由http://www.attacker.org
向http://home.netscape.com 发出请求并获得真正的文
档，然后改写文档中的所有链接，最后经过
http://www.attacker.org 返回给用户的浏览器。工作
流程如下所示：1. 用户点击经过改写后
的http://www. attacker.org/http://home.netscape.com；

---- 2. http://www.attacker.org 向http://home.

---- netscape.com 请求文档；

---- 3. http://home.netscape.com 向http://www.

---- attacker.org 返回文档；

---- 4. http://www.attacker.org 改写文档中的所有URL；

---- 5. http://www.attacker.org 向用户返回改写后的
文档。

---- 很显然，修改过的文档中的所有URL 都指向
了www.attacker.org ，当用户点击任何一个链接都
会直接进入www.attacker.org，而不会直接进入真正
的URL。如果用户由此依次进入其他网页，那么他
们是永远不会摆脱掉受攻击的可能。

---- 关于表单

---- 如果受攻击者填写了一个错误Web 上的表单，
那么结果看来似乎会很正常，因为只要遵循标
准的Web 协议，表单欺骗很自然地不会被察觉：表
单的确定信息被编码到URL 中，内容会以HTML 形式
来返回。既然前面的URL 都已经得到了改写，那么
表单欺骗将是很自然的事情。

---- 当受攻击者提交表单后，所提交的数据进入
了攻击者的服务器。攻击者的服务器能够观察，
甚至是修改所提交的数据。同样地，在得到真正
的服务器返回信息后，攻击者在将其向受攻击
者返回以前也可以为所欲为。

---- 关于“ 安全连接”

---- 我们都知道为了提高Web 应用的安全性，有人
提出了一种叫做安全连接的概念。它是在用户
浏览器和Web 服务器之间建立一种基于SSL 的安全
连接。可是让人感到遗憾的是，它在Web 欺骗中基
本上无所作为。受攻击者可以和Web 欺骗中所提
供的错误网页建立起一个看似正常的“ 安全连
接”：网页的文档可以正常地传输而且作为安全
连接标志的图形（通常是关闭的一把钥匙或者
锁）依然工作正常。换句话说，也就是浏览器提
供给用户的感觉是一种安全可靠的连接。但正
像我们前面所提到的那样，此时的安全连接是
建立在www.attacker.org 而非用户所希望的站点。

---- 攻击的导火索

---- 为了开始攻击，攻击者必须以某种方式引诱
受攻击者进入攻击者所创造的错误的Web。黑客
往往使用下面若干种方法。

---- 1  把错误的Web 链接放到一个热门Web 站点
上；

---- 2  如果受攻击者使用基于Web 的邮件，那么
可以将它指向错误的Web；

---- 3  创建错误的Web 索引，指示给搜索引擎。

---- 完善攻击

---- 前面描述的攻击相当有效，但是它还不是十
分完美的。黑客往往还要创造一个可信的环境，
包括各类图标、文字、链接等，提供给受攻击者
各种各样的十分可信的暗示。总之就是隐藏一
切尾巴。此时，如果错误的Web 是富有敌意的，那
么无辜的用户将处于十分危险的境地。

---- 另外，黑客还会注意以下方面。

---- 1  状态线路

---- 连接状态是位于浏览器底部的提示信息，它
提示当前连接的各类信息。Web 欺骗中涉及两类
信息。首先，当鼠标放置在Web 链接上时，连接状
态显示链接所指的URL 地址，这样，受攻击者可能
会注意到重写的URL 地址。第二，当Web 连接成功
时，连接状态将显示所连接的服务器名称。这
样，受攻击者可以注意到显示www.attacker.org ，而
非自己所希望的站点。

---- 攻击者能够通过JavaScript 编程来弥补这两项
不足。由于JavaScript 能够对连接状态进行写操
作，而且可以将JavaScript 操作与特定事件绑定在
一起，所以，攻击者完全可以将改写的URL 状态恢
复为改写前的状态。这样Web 欺骗将更为可信。

---- 2  位置状态行

---- 浏览器的位置状态行显示当前所处的URL 位
置，用户也可以在其中键入新的URL 地址进入到
另外的URL，如果不进行必要的更改，此时URL 会暴
露出改写后的URL。同样地，利用JavaScript 可以隐
藏掉改写后的URL。JavaScript 能用不真实的URL 掩盖
真实的URL，也能够接受用户的键盘输入，并将之
改写，进入不正确的URL。

Web 欺骗的弱点

---- 尽管黑客在进行Web 欺骗时已绞尽脑汁，但是
还是留有一些不足。

---- 文档信息

---- 攻击者并不是不留丝毫痕迹，HTML 源文件就
是开启欺骗迷宫的钥匙。攻击者对其无能为力。
通过使用浏览器中“view source” 命令，用户能够
阅读当前的HTML 源文件。通过阅读HTML 源文件，可
以发现被改写的URL，因此可以觉察到攻击。遗憾
的是，对于初学者而言，HTML 源文件实在是有些
难懂。

---- 通过使用浏览器中“view document information” 命
令，用户能够阅读当前URL 地址的一些信息。可喜
的是这里提供的是真实的URL 地址，因此用户能
够很容易判断出Web 欺骗。不过，绝大多数用户都
很少注意以上一些属性，可以说潜在的危险还
是存在的。

---- 逃离灾难

---- 受攻击者可以自觉与不自觉地离开攻击者
的错误Web 页面。这里有若干种方法。访问Bookmark
或使用浏览器中提供的“Open location” 进入其他
Web 页面，离开攻击者所设下的陷阱。不过，如果
用户使用“Back” 按键，则会重新进入原先的错误
Web 页面。当然，如果用户将所访问的错误Web 存
入Bookmark，那么下次可能会直接进入攻击者所设
下的陷阱。

---- 关于追踪攻击者

---- 有人建议应当通过跟踪来发现并处罚攻击
者。确实如此，攻击者如果想进行Web 欺骗的话，
那么离不开Web 服务器的帮助。但是，他们利用的
Web 服务器很可能是被攻击后的产物，就象罪犯
驾驶着盗窃来的汽车去作案一样。

预防办法

---- Web 欺骗是当今Internet 上具有相当危险性而
不易被察觉的欺骗手法。幸运的是，我们可以采
取的一些保护办法。

---- 短期的解决方案

---- 为了取得短期的效果，最好从下面三方面来
预防：

---- 1. 禁止浏览器中的 JavaScript 功能，那么各类
改写信息将原形毕露；

---- 2. 确保浏览器的连接状态是可见的，它将给
你提供当前位置的各类信息；

---- 3. 时刻注意你所点击的URL 链接会在位置状
态行中得到正确的显示。

---- 现在，JavaScript、ActiveX 以及Java 提供越来越丰
富和强大的功能，而且越来越为黑客们进行攻
击活动提供了强大的手段。为了保证安全，建议
用户考虑禁止这些功能。

---- 这样做，用户将损失一些功能，但是与可能
带来的后果比较起来，每个人会得出自己的结
论。

---- 长期的解决方案

---- 1. 改变浏览器，使之具有反映真实URL 信息的
功能，而不会被蒙蔽；

---- 2. 对于通过安全连接建立的Web — — 浏览器
对话，浏览器还应该告诉用户谁在另一端，而不
只是表明一种安全连接的状态。比如：在建立了
安全连接后，给出一个提示信息“Netscape Inc.” 等
等。

---- 所有的解决方案，可以根据用户的安全要求
和实际条件来加以选择。

--
※ 来源:．紫丁香 bbs.hit.edu.cn．[FROM: 202.97.236.132]

Network 版 (精华区)