- 发帖可能变空内容,邪门暂不知所以然
- 『稷下学宫』新认证方式,24年网站打算和努力目标
主题:【讨论】纯技术探讨:访问网站导致被黑的可能和难度大小 -- 铁手
家园 【讨论】纯技术探讨:访问网站导致被黑的可能和难度大小 在网上的人越来越多。由于对使用安全方面的一些不了解或者是疏忽,很多人在网上中过招,所使用的计算机被人用各种各样的方式黑了。个人的印象,在国内上网的人似乎很容易被人种木马。
在西西河里,类似的情况也碰到一些,数量不多,大概有两三个。情况大致上都是在和别人争论过后,认为自己的计算机被人黑了,或者说是自己的邮件地址被人攻入了,等等。虽然个例本身不能说明太多问题,但是对其他用户而言,也会导致风声鹤唳,并因此对西西河产生不必要的不信任。
非常希望在这个主题下的讨论可以帮助澄清两个方面的问题。一个是作为用户,怎样学会自我保护,需要注意哪些方面以避免被黑。另外一个是,哪些情况是不可能发生的,以免被谣言惑众。在此基础上,网站服务器需要注意哪些方面。因为本人对这个话题并不熟悉,上面所提到的两个方面可能并不能覆盖所有方面,因此请各位在讨论的时候,不要受限,角度越开阔越好。欢迎跟帖讨论,也欢迎另开内容主题帖专门说明。如果以前有帖讨论过类似的话题,也请帮忙提供一下链接,我好引用一下。
访问西西河有没有可能导致自己的计算机被黑?
如果有,我想大概会有两种可能性吧。一种可能性,是作为不能接触后台的第三方有没有可能攻击某个访问用户?另外一种可能性,是作为能够获得访问用户有限信息的网站本身,有没有可能攻击到某个访问用户?
或者换个角度问这个问题:需要用户的什么信息就有可能攻击到访问用户?有了这些信息,什么样的手段可以攻击到访问用户?
如果排除网站服务器被种木马,从而导致用户在访问的时候不幸下载了木马的情况,第一个可疑对象是用户的IP地址。这里需要说明一下,给他人发送邮件的时候,收件方就可以查看到发送者的IP地址。也就是说,并不需要通过访问网站来被人获得IP地址。
假设某个访问者的IP地址被人通过某种方式拿到了,有多少难度会被人攻入?作为网站服务器而言,人人都可以知道网站的IP地址,每天也都会受到不少攻击,有故意的也有随机探探的。直觉上,网站服务器似乎比用户的计算机更容易受到威胁。虽然说不是不可能,但是知道访问者的IP地址就能轻易攻击到对方的计算机的话,微软是不是早该关门大吉了?到底有多少种方式可以利用访问者的IP地址来黑入?难度到底有多大?
国内用户常发生被种木马的情况,我感觉是和网路下载过多有关系。通过电驴和BT下载的东西很难保证就没有被装了后门。下载后一运行,得,就完了。另外一方面,也和不少网站的安全不到家,被人黑入种了木马也有关系。好在现在很多浏览器都自带了一些防范措施,在被访问网站有危险内容的情况下都会对用户有所提示。
欢迎大家讨论
本帖一共被 1 帖 引用 (帖内工具实现)家园 很多网站利用HTML嵌入SCRIPT来攻击用户 一般是VBSCRIPT或是JAVASCRIPT, 建议普通用户删除VBSCRIPT.DLL和JSCRIPT.DLL,这两个DLL在%systemroot%\system32目录下.
家园 借老铁的贴提醒大家,世维会的网站可能有问题 上次7.5事件时点击了这个网站,过后马上发现要密码的重要网站如网上银行上不去了。后来用了方舟子推荐的spybot清了一遍才好
家园 【原创】前半句,浏览用户要像防贼一样防网站; 后半句?后半句要等下一篇。
起这样一个题目并非是危言耸听,更不是对类似西西河这样的网站有什么看法。第一,上网永远是不安全的,不上网永远是安全的(主动运行带毒软件除外),因此上网被黑大部分的责任是应该上网者自己的事情。第二,如同ABC所言,许多网站的站长在设计网站时并没有把网站的安全放在一个适当的位置来考虑,或者说站长的安全知识已经相对落后。安全和入侵永远是道高一尺魔高一丈的问题,短期内不可能解决。第三,没有没虫(BUG)的软件,无论是服务器还是客户端(这里主要谈浏览器和其插件)。
为了简化问题,俺在这里就不搞什么威胁模型之类的东东了。分两个方面排一下安全因素重要性的高低,防护成本和防护策略。不过这种东西难免挂一漏万,考虑不到的地方尽管拍砖。
1.OS及网络管理方面。
A.安全更新。定期检查并保证OS处于最新更新状态。
B.安全策略。为管理员设置一定强度的用户口令,坚持用低级别用户帐号处理日常事务,比如上网。家庭用机,坚决关闭远程桌面等“后门”。
C.多重防火墙。网络防火墙(一般的家庭路由器都带)和桌面防火墙最好同时使用。当与网络小白使用同一个内部网络时,可考虑再加一内部防火墙与之隔离。
D.虚拟机。可以考虑使用各种虚拟机,比如VMWARE,搭载GUEST OS专门处理上网等“危险行为”。
E.OS选择。如可能,选择LINUX而非WINDOWS。
2.浏览器安全因素。
A.Active X。除非绝对必要,不可使用下载的Active X。Active X是IE威力强大的浏览器扩展手段。正因为威力强大,也是黑客之头号爱将。处理措施:除OS UPDATE和网银之外,不使用IE浏览器,特别是低版本的IE浏览器。俺自己浏览器的安全性排序:CHROME > IE8 > OPERA > SAFARI > FIREFOX > IE7 > IE6.
B.浏览器插件,这个主要是真对非IE浏览器。慎重使用小公司的插件。理论上,使用的插件愈多,被黑的可能性越大。
C.对不经常访问的网站要慎重处理,特别是有可能包含CSS攻击的BBS网站和社交网站。理论上,一个图片解码的溢出虫都可能导致一个类似CSS攻击行动。比如俺发现了一个图片解码的溢出虫,然后俺用BBS上的外接图片功能链接一个俺放置在第三方服务器上的溢出图片就可以导致这个用户机器浏览器的栈或者堆的溢出,然后,还需要俺说然后吗?
D.重要事宜,如网上银行,采用专门浏览器或者CHROME的Incognito mode (private browsing)甚至专门的机器(可以是个虚拟机)处理。如用一般浏览器处理完此类事物,一定在退出前清空“缓冲区”的一切内容。
E.“客户端欺骗”。使用这个主要是迷惑恶意网站。比如告知网站你使用的是MAC OS的Safari,实际上你使用的是Windows的Opera。有些浏览器支持这样做,但这样做能导致网页兼容性问题。
就是你采取了所有以上措施,你的机器依然有可能被黑。俺上面说的一切只是降低了你上网被黑的可能性,但你一定不要因噎废食。
“妹妹”你大胆地往前走,莫回头,因为,因为天边可能有彩虹。
祝上网冲浪安全,快乐!
家园 为什么IE8的安全性排名会这么高? 还是仅仅因为他出来得新的缘故?
家园 Safari的libtiff。。。 第一代iPhone就是safari用了可做溢出攻击的libtiff。。。
把safari排在firefox前面不妥当吧。。。
家园 答YUEYU兼前半句的一点说明。 俺那个排序是按这样的方式排列的:
1.浏览器的架构,即浏览器的设计中是否把安全放在比较优先的次序考虑。
2.该浏览器的市场份额,理论上使用越少的浏览器越安全。因为市场份额越小,黑客们越少考虑如何黑之。黑客难道就不考虑投入产出比?同样的道理可以推广到OS。但是,诸如傲游之类的浏览器应该归类到采用相应内核的浏览器,傲游 = TRIDENT = IE.
url的设计之初主要考虑了便利性(或者说体验),这也是WEB(HTML)能引领IT风潮之关键。但是没有考虑安全因素是它的一个缺陷,恰如SMTP协议的缺陷导致垃圾邮件泛滥。所以点击网页上的链接是要慎重的 --- 斗兽场边上的两扇门里分别是野兽和美女,至于你打开后得到的是什么就看你的RP了。
家园 基本上是网站先被黑,然后是用户遭殃 如太守所说的,现在直接攻击某个用户的计算机是越来越难了。盖因现在的操作系统经过那么多年的爬摸滚打,低级错误已经很少了。同时作为客户端不需要考虑对外服务的机器,保护起来也比较简单。
而网络服务器目前还是一个大问题。主要原因是服务程序还是由水平参差的程序员写的,大多没经过严格的测试,开发人员也未经过相应的训练。所以攻击这些服务器的难度相对较低。
常见的网站攻击是利用网站对用户输入检查不严格,在输入数据的时候插入特殊的代码进行的。比如SQL注入、缓冲区溢出等等。对于论坛、Blog这类的网站还有一种方式比较常用的就是CSS攻击(或叫XSS攻击)——Cross Site Script。简单说就是在文章中加入一段脚本,当用户打开这篇文章的时候就会在用户的计算机上执行这段脚本,这样就可以把用户当前登录信息转发到其它网站。如果用户的浏览器有漏洞的话,甚至可以种下木马。
预防措施也不太复杂,就是要严格检查用户提交内容中的特殊字符,如尖括号等等。这个检查必须在服务器端完成,不能依赖客户端的脚本自己检查。另外,还需要防止用户通过其它方式绕过页面直接向服务器提交内容。一句话,我们要像防贼一样防着用户。
一般用户则需要注意浏览器的安全设置,尤其要注意跨站访问的警告。IE有这个设置,可以太烦人了,绝大多数人都关掉了。