解决网站防挂IFRAME木马的原理
| 表空白页,大家都知道的。outerHTML属性是DOM对象包含自身的HTML代码,而innerHTML则是DOM对象(不含本身)里面所包含的HTML代码。
爽快,代码写好了,就让我信来测试一下有没有效果。 首先,新建一个网页,插入以上的CSS代码(或在您现有的CSS代码里加入上面那句): <style type="text/css"> 然后在这个页面插入几个IFRAME代码,假设它们是被挂的木马网页。代码如下: <iframe src="http://www.baidu.com"></iframe> 百度 保存为noiframe.htm,打开浏览器测试一下(本地测试需要启用顶部禁用的脚本的提示条哦)。我这里使用抓包工具来测试,不过也没有必要使用抓包工具,一个最简单有效的方法是打开IE的缓存文件夹,先清空它,再刷新这个页面,看看缓存文件夹里有没有这三个网站里的文件。如果没有,说明没有任何请求结果被返回——测试结果是令人满意的,我的脸上有些微笑 ^^*,这时同事递给我一块饼,蛮好吃的。 提示:Windows XP SP2的缓存文件夹位置 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files 细心的朋友发现问题来了,如果我自己的网页里要使用iframe这个东东怎么办? 答:如果要使自己的iframe显示在网页里,而别人挂的IFRAME马都不起作用,在CSS里加一个 #f126{v:expression() !important} <iframe id="f126" name="f126" src="http://www.126.com/"></iframe> 就OK了。 提示:IE7中优先执行标注有“!important”描述的样式,IE6不认识!important,采用就近原则,所以IE6的这个代码放在CSS的最后就可以了。 这里的f126,有很多朋友有疑问,他们问我为什么取"f126",我这样回答——这个f126是随意取的,只要下面的iframe里的ID属性和CSS里的一致就行了。同事又要递一块饼我吃,我说饱了哈..嘻嘻.. 当然挂马者可以构造这样的代码: <iframe style="v:expression() !important" src="URL"></iframe> 使我的防御方式失效,不过它得特意去看我的CSS代码里iframe里的前缀v, |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
