利用知名站點欺騙掛馬

網絡上有許多"釣魚（Pushing）"式攻擊，通過各種手段誘騙上網者瀏覽惡意的網站，導致各種網銀或游戲帳號密碼丟失。同樣的，釣魚式攻擊也被用在欺騙性傳播網頁木馬上。

利用Google圖片搜索掛馬

類似于Google、百度、TOM、新浪之類的大網站，許多用戶還是非常放心的，因此在看到指向這些網站的鏈接時，許多用戶往往都會放心的點擊。然而這些大網站安全性并非那么十全十美，同樣也可能被攻擊者利用進行掛馬攻擊。

例如在某個論壇上，上網者看到一個名為"Google搜索到的隱蔽XX圖"的帖子，其中有一個指向Google圖片搜索的鏈接：

http://images.google.com/imgres?imgurl=色情&imgrefurl=%68%74%74%70%3a%2f%2f%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d&tbnid=W

由于此鏈接指向的是Google圖片搜索，因此瀏覽毫不懷疑鏈接來源的安全性，點擊鏈接后沒有看到想看的圖片，卻遭受了木馬攻擊。

以Google為例，Google是全球最大的搜索引擎，同時Google擁有其他龐大的 WEB應用程序產品線，涉及EMAIL、BLOG、在線文檔、個人主頁、電子地圖、論壇、RSS等互聯網幾乎所有的應用業(yè)務。然而在Google提供的圖片搜索服務就存在一個安全問題。

在Google圖片搜索結果頁面中，點擊某張圖片，可打開一個圖片預覽頁面。在頁面上方顯示有圖片信息，下方的框架中則是顯示的圖片來源頁面（圖1）。

圖1 圖片預覽頁面#p#

如果查看此時的Google圖片預覽頁面鏈接地址，可發(fā)現形如：

http://images.google.com/imgres?

imgurl=http://ladymetro.metroerimg.com/img/ladymetro/editor_pickup/2008_old/upload/image/parttime2/00zz0401.jpg&

imgrefurl=http://www.ladymetro.com/fashion/content/4762&usg=__e930yGV25zCQ0nGbF9GpGQAS5xA=&h=478&w=300&sz=47&

hl=zh-CN&start=147&tbnid=WAOJc3A1C4arwM:&tbnh=129&tbnw=81

其中"imgurl="參數后是圖片的真實鏈接地址，imgrefurl=參數后是圖片來源頁面鏈接地址，其它是一些附加參數。

此時，如果將imgrefurl=參數后的圖片來源頁面鏈接地址進行修改，就可讓Google圖片預覽頁面內嵌任意網頁，包括木馬網頁。例如這里直接將任意Google圖片預覽頁面鏈接地址中的imgrefurl=參數鏈接修改為百度鏈接地址，則在Google圖片預覽頁面內嵌顯示了百度首頁（圖2）。

圖2  Google圖片搜索掛馬效果#p#

當然，如果將百度鏈接換成木馬網頁的話，就會遭受木馬網頁攻擊。不過這個鏈接地址太長了，而且參數比較多，容易讓人起疑心，因此可以去掉其中一些不必要的參數，改寫為如下形式：

http://images.google.com/imgres?

imgurl=http://ladymetro.metroerimg.com/img/ladymetro/editor_pickup/2008_old/upload/image/parttime2/00zz0401.jpg&

imgrefurl=http://www.baidu.com&tbnid=WAOJc3A1C4arwM:

其中的"imgurl="參數后的圖片鏈接地址也是可以省略為任意字符的，再次改寫為如下形式：

http://images.google.com/imgres?imgurl=1&imgrefurl=http://www.baidu.com&tbnid=WAOJc3A1C4arwM:

"tbnid="參數可以為任意字符，因此改寫為如下形式（圖3）：

http://images.google.com/imgres?imgurl=1.gif&imgrefurl=http://www.baidu.com&tbnid=W

圖3

在進行掛馬攻擊時，攻擊者當然不會直接寫入網頁的鏈接地址，那樣太明顯了。攻擊者可以對網頁木馬鏈接地址進行轉換，變成%16進制的形式，例如"http://www.baidu.com"可以轉換為：

%68%74%74%70%3a%2f%2f%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d#p#

則掛馬鏈接地址變?yōu)椋▓D4）：

http://images.google.com/imgres?imgurl=1&imgrefurl=%68%74%74%70%3a%2f%2f%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d&tbnid=W

圖4

這個掛馬鏈接地址看難讓人看出有什么問題，而且攻擊者還可以對鏈接再進一步偽裝，例：

http://images.google.com/imgres?imgurl=色情&imgrefurl=%68%74%74%70%3a%2f%2f%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d&tbnid=W

http://images.google.com/imgres?imgurl=sex&imgrefurl=%68%74%74%70%3a%2f%2f%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d&tbnid=W

或者直接將"imgurl="參數后加上一張令人感興趣的真實的圖片鏈接地址，點擊打開這個Google圖片搜索鏈接時，確實顯示了令人"興奮"的圖片，但同時也打開了木馬網頁。

【編輯推薦】

1. 感傷寒 網頁掛馬早預防
2. 局域網如何實行ARP欺騙掛馬
3. 對網頁被掛馬的10種樣式的認識
4. 警惕網頁特效CSS掛馬