网页木马风行有其必定的优势。不过其也有不少的不足。在防治网页木马的时候,我们可以从另一个角度来审视网页木马,做到知己知彼、百战不殆。如我们可以懂得网页木马的不足,从而采用一些手段,让这些不足浮现出来,反过来占木马的“漏洞”,从而实现防治木马的目标。
不足一:网页木马是姜太公钓鱼愿者上钩
网页木马是被动式的工作,没有固定的目标。如果利用一句俗语来概括,就是姜太公钓鱼愿者上钩。网页木马缺乏针对性,往往不会主动出击。也就是说,它只是等着别人来中,从不会主动的选择攻击的对象。
从这个角度出发,或许能够给我们安全人员不少的启发。如从一个极端的角度讲,企业内部用户一个都不访问网页,那么就不会受到网页木马的困扰。当然在实际工作中,这往往是做不到的。我们现在需要考虑的是,就是如何将这些可以访问网站的用户的数量把持在最小的范畴之内。如对于生产企业来说,就可以将大部分用户访问互联网的权利进行限制。在防火墙或者企业边沿路由器上可以很轻易的做到这一点。此时网页木马也就无用武之地了。
如果不限制用户这方面才能的话,另外一个比较好的方法就是及时的更新防火墙,如一般防火墙的供给商都会对互联网上的网站进行监督。当发明某个网站挂有木马的话,都会及时的提示,或者将其参加到黑名单。此时当用户需要访问这些带有木马网站的时候,就会带屏蔽掉。不过采用这种方法,还是可能会有漏网之鱼。为此笔者的建议是,如果有可能的话,在最大程度内限制用户可以访问互联网的数量。
不足二:木马针对IE漏洞发起攻击
现在九成以上的木马,其都是针对IE漏洞来发起攻击的。如果某个漏洞被及时的补上,就好像把坏了的锁换了一把新的,网页木马就会失效。再如如果不用IE浏览器或者IE内核浏览器,那么大部分网页木马也就无用武之地了。在企业中,可以请求用户应用Mozida等免费的浏览器。这些浏览器没有应用IE内核,为此中招的几率也会少许多。
虽然没有IE内核的浏览器在功效上有所限制,如观看电影、视频等等,会比较麻烦。不过对于企业用户来说,这些并不是必备的功效,有些甚至是企业所禁用的。为此采用其他的浏览器,可能还能够起到屏蔽的作用。不过这里还需要提示一点,有一些特别的利用,特别是政府推出的一些利用,可能必定需要应用IE浏览器不可。如对于外贸企业来说,会有外汇核销系统;对于财务部门来说,有发票认证系统等等。这些系统都是基于B/S模式的利用。他们都请求采用IE版本的浏览器。不知道政府机构是出于什么考虑。在这种情况下,安全人员可能要为某些用户开后门,容许某些特定的用户应用IE浏览器。不过对于这些用户的浏览器要做好监控。如发明有漏洞的话,要及时的补上。
不过可气的是,有时候打上补丁的话,某些利用可能无法正常应用。也就是说,政府机构推出的这些利用往往跟不上补丁升级的速度。为此这也就给安全人员提出了一个额外的挑衅。即在打补丁之前,需要做好充分的兼容性测试,或者对原有系统进行完整备份。以防止在兼容性方面呈现不必要的麻烦。
不过总的来说,这些用户在企业中的数量还不是很多。为此在必要的情况下,可以考虑调换企业所应用的浏览器。或者对IE浏览器的补丁采用强迫的、统一的更新策略。
不足三:网页木马具有时效性
网页木马往往具有比较强的时效性,跟消息一样。为什么这么说呢?因为网页木只要一旦被发明,管理员就可以看到网页木马的源代码。即使某些代码可能比较狡猾,会采用必定的隐藏手段。但是一般只要有必定经验的人,还是可以比较容易的辨认。这意味着什么呢?对于网页木马来说,只要源代码公开了,那么这个木马就可以被很好的屏蔽掉。因为从源代码中可以看出这木马采用了浏览器的哪一个漏洞。如此的话,对应的补丁也会马上出来。其次一些防木马的工具,采用的也是脚本分析的机制。故只要脚本公开,那么木马就会没有任何机密,脚本也会失效。故从这个角度讲,没有永远有效的木马。
相关阅读