許多網頁威脅的產生都跟惡意程式有關,正因為網頁瀏覽器具有執行程式碼的能力,為了正本清源、堅壁清野,如果我們把瀏覽器的JavaScript、Java和ActiveX的執行設定全部停用、不允許執行,是否就能真正杜絕網頁威脅?
就現今網頁威脅來看,網頁威脅的種類非常多樣性,理論上講,基於Web的威脅可被分為三類:一、行為:例如惡意網站和不需要的應用程式,二、產品與種類:不恰當的內容,例如網路釣魚網站,三、程式:例如,間諜軟體惡意程式。
要威脅瀏覽網頁的使用者,並非只能透過JavaScript和ActiveX,只要是跟網頁應用有關,一旦只要被有心人士利用,都會造成瀏覽用戶的安全問題,簡單舉幾個例子:
IFrame標籤: IFrame標籤會在一個沒有設定frame的網頁中央,建立一個浮動的frame,將瀏覽者導向其他惡意網站或將其他網站內容插入網頁當中,瀏覽者不容易察覺,下載並植入後門或木馬程式而不自知。
修改或攔截Cookie: Cookie是網站用來確認身份與記錄敏感性(如密碼)個人資料的檔案,有心人士可以通過網路竊聽(sniffer)來攔截它,使用它來跟網站伺服器溝通,竊取瀏覽網站使用者的機密資料。
網頁上的圖檔:在之前微軟的圖形裝置介面JPEG處理程式中,當瀏覽者載入一張JPEG的圖檔時,處理程式並沒作足邊界檢查,造成了整數溢位的情形,所以當惡意人士讓瀏覽者打開惡意的圖檔時,攻擊者就可以用和使用者相同的權限,能執行任意的指令。
網頁下載或要求瀏覽者安裝瀏覽網頁需要的程式:自網頁下載的程式有可能為有心人士所存放的惡意程式,而安裝瀏覽網頁需要的程式也可能是木馬或後門程式。
電子郵件 : 有心人士可以透過電子郵件內嵌網頁或多媒體檔案,藉由上述的手法如IFrame標籤或惡意圖檔,不管使用者是否關閉JavaScript或ActiveX的功能,皆可造成使用者安全上的威脅。
瀏覽器本身的軟體弱點及漏洞: 利用瀏覽器程式在處理網頁語法或網頁物件時,針對程式處理的缺陷來執行惡意程式或操控系統。
CSS attack: 此CSS並非Cross-Site Scripting而是(Cascading Style Sheet),是較新的攻擊手法,目前有兩種方式:
CSS overlays:利用IFrame + CSS,只顯示部分的內容,讓使用者去誤點某些不安全的操作。
Submit buttons:把submit button的border拿掉、改字體,讓它看起來像普通的link,讓瀏覽者不疑有他,點擊連到其他惡意網站。
網路釣魚: 典型的網路釣魚騙局多以線上金融交易用戶為對象,網路釣魚攻擊利用偽造的網站來欺騙受害者,並藉此獲取受害者的個人金融資料,像是信用卡號、帳戶名稱及密碼等。
網址嫁接: 是指不法駭客將網際網路流量,從原本的網站重新導引至另一個看似相同的網站,誘騙人們將使用者名稱及密碼輸入到該偽造網站的資料庫中。銀行或相關金融網站常是這類攻擊的對象,不法駭客試圖從中竊取個人資訊,用來存取他人的銀行帳戶、盜用身分,或冒名犯下其他類型的詐騙案。
SSL攻擊:利用SSL軟體設計上的弱點,如微軟IE實作SSL上的問題,讓惡意網站可以假冒不合法的憑證,將瀏覽者的SSL連線導向到惡意網站。
網頁上的多媒體檔案,如RealPlayer、Windows Media Player、Marcomedia Flash Player等都有相關的軟體弱點,可以讓有心人士利用,對於網頁瀏覽者造成安全上的威脅。
雖然都停用可以減少許多被惡意程式攻擊的機會,不過瀏覽網站時也會帶來許多的不便,我個人是認為不用因噎廢食啦,還是以建立完整的防火牆等安全機制來防堵比較恰當。
不是有哪天是無車日嗎?我記得台北市好像還辦過車子不可以進城!
那我們來搞個『無電腦日』好了!就是當天大家電腦都不要開機!這樣也可以當作安全日囉!!
防不勝防啊
還是要養成良好習慣,不要因好奇心隨意開啟不明的網頁與郵件
善用瀏覽器外掛程式來防制動機不良網頁
真的不想中毒,可以考慮安裝一張還原卡或蓮花卡
每次重開機後,系統自動還原到所設定的原始狀態
當然它並不保證硬碟裡面沒有病毒\
也無法避免開機後使用過程當中避免中毒
但至少可以確保每次開機都是一個乾淨的環境
(幾乎啦,除非中了BIOS病毒)