第一部分:
我们在使用搜索引擎搜索图片时,谨防图片搜索存在挂马漏洞。利用图片搜索制作的恶意链接,和伪造链接非常相似,但迷惑性更强。
有些地址伪装方法,是在一些知名网站的特定链接后面的参数中加上其它的网址,访问这个伪装的网址后就跳转到参数后面的网址,例如http://pro.163.com/56113830/../event.ng/Type=&Redirect=http://www.yesky.com表面看上去是163.com的二级域名,但是打开之后就会跳转到http://www.yesky.com。
这种链接是利用跨站制作出来的,就是将imgrefurl=后面的网址嵌入当前网页。打开图片搜索网页后直接在当前页面显示目标网页,如果这个目标网页是挂马网页会怎么样?访问该图片搜索网页的用户可能中毒,而他们根本不会察觉自己无意中打开了挂马网页。
图片搜索挂马之谜
图片搜索是将图片来源的页面嵌套到自己的页面,以http://images.google.cn/imgres?imgurl=http://www.xpdesk.cn/Code/upload88/Pro1/xpdesk.cn2007731131852875b.jpg&imgrefurl=http://www.xpdesk.cn/pro/Pro1/ProList1134.html为例,我们看到这个链接网址中“imgres?”后面跟了两个参数“imgurl=”和“imgrefurl=”。
imgurl=后面跟的是图片的地址,imgrefurl=后面根据语意能猜出是图片来源地址。
有些搜索引擎有对图片搜索的本身缺陷,对链接中参数imgrefurl=后面的图片来源地址没有做任何校验,直接将来源页面嵌套进来。如果被用来进行欺骗挂马也是轻而易举的事情。这样就给挂马者留下了可钻的缝隙。
这种挂马的好处就是迷惑性非常强。这就好比你相信大型百货公司不会销售假货,造假者在给大型百货公司提供货源时,偷偷塞进去一些假货,你可能无意中就在大型百货公司买到假货。
第二部分:
对于上面所介绍的在网址后面加入伪装的网址后就跳转到参数后面的网址,这样看上去有些明显,看了上面介绍的朋友都可以识破这样的陷阱。
于是挂马者又想出一招:对URL进行加密处理。通过工具软件对url网址加密。加密后,网址就变成了这样,如:http://images.google.cn/imgres?imgurl=大美女.jpg&imgrefurl=%68%74%74%70%3A%2F%2F%77%77%77%2E%78%78%78%78%2E%63%6F%6D%2F%31%2E%68%74%6D,看上去毫无破绽。挂马者把这个链接附加上迷惑性的文字发出去,引诱用户点击。如果点击了,就会激活挂马页面,导致电脑中毒。
总结:
大家在上网时,一定要学会如何辨别网址,例如vip.qq.vnhdr.com,乍一看以为是QQ会员的网址,其实三级域名vnhdr.com才是主域名。网址后面如果有“url=”这样的参数,就特别可疑,最好不要打开。
此外,我们还要及时打上系统和常用软件的安全补丁,上网时使用一些能拦截网页木马的安全辅助工具。
