最快速有效的iFrame治標(biāo)解決方案

    當(dāng)網(wǎng)站成為黑客熱愛的攻擊的目標(biāo)，也成為散播惡意程序的跳板，企業(yè)蒙受的風(fēng)險與損失隨之?dāng)U大，也會讓網(wǎng)站使用者受到波及。
 
    目前Google開始在搜尋結(jié)果中加入提醒字符串，標(biāo)示受駭?shù)木W(wǎng)站，對企業(yè)而言，更可能因此流失用戶。

    如何在這波「網(wǎng)駭／害」烽火中生存，最重要的是必須正視問題的嚴(yán)重性，在網(wǎng)站開發(fā)與維運(yùn)階段提升安全意識。另外，也可藉由導(dǎo)入自動化工具的方法提升安全性，如果資安預(yù)算有限，至少找出企業(yè)能負(fù)荷的安全防護(hù)底線，保障企業(yè)網(wǎng)站與用戶的安全。

    治標(biāo)：監(jiān)控網(wǎng)頁異動，立即回復(fù)

    黑客有許多攻下網(wǎng)站的手法，但以修改網(wǎng)頁進(jìn)行偷渡惡意程序的手法而言，最終必須修改網(wǎng)頁才能達(dá)到目的，因此監(jiān)控網(wǎng)頁便是IT人員可以應(yīng)變黑客攻擊的方法。

    黑客修改網(wǎng)頁時，對于檔案的大小、網(wǎng)頁的最后修改時間都會造成影響，因此IT人員可以自行撰寫程序，比對網(wǎng)站最近一次修改檔案的大小或日期和在線檔案是否一致，一旦有出入，就代表有異常，這時就可以進(jìn)一步檢視檔案是否有不明的iframe或JavaScript語法指向外部網(wǎng)站，藉此判定是否已經(jīng)遭到黑客 攻擊。萬一遭到攻擊的話，則必須先做好證據(jù)保存的動作，再將網(wǎng)站復(fù)原成未入侵前的狀態(tài)。

    市面上有針對網(wǎng)站的監(jiān)控與復(fù)原動作提供自動化解決方案的產(chǎn)品，這類產(chǎn)品通常能做到實時化的監(jiān)控與通報機(jī)制，當(dāng)網(wǎng)站遭到竄改時，立即復(fù)原成原先頁 面，就能阻擋在網(wǎng)頁中植入程序代碼的攻擊方式，入侵的記錄也會保留住。網(wǎng)頁監(jiān)控與復(fù)原產(chǎn)品通常也能保護(hù)檔案服務(wù)器上的檔案，如果黑客企圖刪除或更改文件時，系統(tǒng)便會實時復(fù)原。

   這類產(chǎn)品的價格通常在數(shù)萬元到十幾萬元，以資安的產(chǎn)品而言相對較低，對于規(guī)模較小的企業(yè)較能負(fù)擔(dān)，但它能做便是保持網(wǎng)頁不被竄改更動，乍看之下成功的抵擋目前這波新興的黑客攻擊手法，然而它終究只是治標(biāo)之道。

   雖然黑客不能竄改網(wǎng)頁內(nèi)容，但畢竟已經(jīng)登堂入室，取得修改網(wǎng)頁的權(quán)限，這意味著黑客也能將數(shù)據(jù)帶走，或者不使用修改網(wǎng)頁程序代碼的方式，繞道透過SQL Injection的攻擊手法，將數(shù)據(jù)庫中的內(nèi)容帶走。

    因此不論企業(yè)自行撰寫程序或采用自動化產(chǎn)品來監(jiān)控與復(fù)原網(wǎng)頁，都必須明白它的限制在于提供消極的解法，只保護(hù)住網(wǎng)頁，但黑客進(jìn)攻的漏洞沒有找出來修補(bǔ)，攻擊仍會發(fā)生。

    解析iFrame攻擊手法

    對黑客而言，如何讓使用者毫無警覺，下載惡意程序到使用者的計算機(jī)，才能達(dá)到黑客之后的目的，例如竊取賬號、密碼或植入傀儡程序。

    利用HTML語法中的iframe語法，即是一個極常見的手法。iframe設(shè)計的目的，是讓設(shè)計人員能在網(wǎng)頁中嵌入頁框，而頁框中可以加載另一個頁面，透過這種方式可以設(shè)計出更為彈性的網(wǎng)頁功能。
但iframe到黑客手中，就有了不一樣的玩法。只要在iframe屬性將寬與高設(shè)定為「0」時，被呼叫的頁面一樣會執(zhí)行，但不會顯示在網(wǎng)頁上。這種宛如替網(wǎng)頁穿上隱身衣的作法，就會在使用者瀏覽被駭網(wǎng)站時，神不知鬼不覺地執(zhí)行藏在隱身頁面中的語法。

    由于iframe手法太過盛行，而且具有明顯的辨識特征，于是就有變種的方式出現(xiàn)，利用JavaScript語法改寫呼叫手法，再混進(jìn)網(wǎng)頁原有JavaScript中，增加發(fā)掘的難度。

    一般而言，瀏覽器如果設(shè)定適當(dāng)?shù)陌踩�性等級，惡意程序在下載或執(zhí)行時會出現(xiàn)警告訊息，但如果黑客利用安全漏洞，就有機(jī)會在不用任何詢問下安裝惡意程序。

    比起自行偽造網(wǎng)站容易被人識破，黑客會挑選流量大或知名網(wǎng)站作為散播的源頭，成功率較高。黑客會嘗試由各種可能的管道入侵，例如網(wǎng)頁應(yīng)用程序本身的缺陷或 是未更新的漏洞。Google強(qiáng)大的搜尋能力，更是助長黑客能取得更多沒有作好設(shè)定的網(wǎng)站，透過一些關(guān)鍵詞往往能查出系統(tǒng)信息或可能的弱點，而讓黑客可以 取得修改網(wǎng)頁的權(quán)限。

    因此當(dāng)企業(yè)發(fā)現(xiàn)網(wǎng)站被植入惡意程序時，已經(jīng)是黑客攻擊手段的最后階段，它只是表面上最容易發(fā)現(xiàn)的跡象，事實上，系統(tǒng)或網(wǎng)站應(yīng)用程序必然存在漏洞，讓黑客得以順藤摸瓜，進(jìn)而修改網(wǎng)頁。