网页挂马的原理及实现方式

最新推荐文章于 2024-05-06 16:00:05 发布
最新推荐文章于 2024-05-06 16:00:05 发布
阅读量168 收藏
点赞数
文章标签: 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62583138/article/details/133983674
版权

网页挂马指的是把一个木马程序上传到一个网站里面,然后用木马生成器生成一个网马,放到网页空间里面,再加代码使得木马在打开网页时运行。用通俗的话来说就是将木马植入网页,编写代码让用户打开网页时,自动下载木马,使木马保存到用户本地,在通过初始木马进行木马繁殖,子木马再进一步执行,繁殖,形成恶性循环,造成用户的电脑被攻击和挟持。

实现方式:

①将木马伪装为页面元素,木马则会被浏览器自动下载到本地。

②利用脚本运行的漏洞下载木马。

③利用脚本运行的漏洞释放隐含在网页脚本中的木马。

④将木马伪装成缺失的组件,或和缺失的组件捆绑在一起,如flash播放插件。这样既达到了下载的目的,下载的组件又会被浏览器自动执行。

⑤通过脚本运行调用某些com组件,利用其漏洞下载木马。

⑥在渲染页面内容的过程中,利用格式溢出释放木马,如ani格式溢出漏洞。

⑦在渲染页面内容的过程中,利用格式溢出下载木马,如flash9.0.115播放漏洞。

琞楊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSS代码 解决网页问题
12-09
两行CSS来解决,共5种方案 一、 iframe{n1ifm:[removed]this.src=’about:blank’,this.outerHTML=”);}/*这行代码是解决IFRAME木的哦*/ script{nojs1:[removed](this.src.toLowerCase().indexOf(‘http’)==0)?[removed](‘木被成功隔离!’):”);} 原理:将[removed]标记的src拿出来转为小写,再看是不是以“http”开头的外域JS脚本文件,如果是,则页面内容清空并写出“木被成功隔离!”。反之正常显示。 缺点:访客无法看到
网页方式整理及详细介绍
09-01
主要介绍了网页方式整理及详细介绍的相关资料,这里整理了不少方式,大家可以看下如何实现的,需要的朋友可以参考下
预防网页的方法总结
01-19
预防网页的方法总结: 在网站优化设计当中,检测网页也是很重要的一项工作,目前流行的网站被黑,是在相应的asp,htm,js等文件中,插入以js调用方式的。本文主要介绍网页的工作原理及种类、常见方式、执行方式、如何检测网页是否被、如何清除网页。如何防止网页。 1:网页工作原理的种类.  (1)工作原理:     作为网页的散布者,其目的是将木下载到用户本地,并进一步执行,当木获得执行之后,就意味着会有更多的木被下载,进一步被执行,进入一个恶性的循环,从而使用户的电脑遭到攻击和控制。为达到目的首先要将木下载到本地 (2)种类:     目前流行的网站被
网页原理实现方式
weixin_33670786的博客
11-21 4826
网页 一、网页介绍 (1)、与网 1、 Ø从“”这个词中就知道,它和“木”脱离不了关系,的确,的目的就是将木传播出去 Ø黑客入侵了一些网站之后,将自己编定的网页嵌入到其网站的页面(能常是在网站主页)中,利用该网站的流量将自己的网页传播出去从页达到自己的目的 2、网 Ø网,即“网页”,就是将木网页结合在一起...
【XSS漏洞】通过XSS实现网页
Monsterlz123的博客
06-07 7382
【XSS漏洞】通过XSS实现网页 Hello,各位小伙伴们大家好~ 端午假期第一天,大家玩嗨了嘛? 小编是玩嗨了,毕竟已经拖更五天了… 好啦,直接进入正题吧,前面也写了两期XSS相关的内容,今天就来点高大上的(并不是!),我们来通过XSS实现网页吧~ 一、准备工作 实验拓扑: 实验分为两部分: 1、通过Kali linux,利用MS14_064漏洞,制作一个木服务器。存在该漏洞的...
网页方式html css,CSS代码 解决网页问题
weixin_39637285的博客
06-17 190
CSS代码 解决网页问题发布时间:2009-10-01 02:13:24 作者:佚名 我要评论两行CSS来解决网页问题,共5种方案。两行CSS来解决,共5种方案一、iframe{n1ifm:expression(this.src='about:blank',this.outerHTML='');}/*这行代码是解决IFRAME木的哦*/script{nojs1:express...
网页及暗链检测
A11085013的专栏
06-09 7613
什么是网页 网页是指恶意攻击者攻击WEB网站后,在网页中嵌入一段代码或脚本,用于自动下载带有特定目的木程序,而恶意攻击者实施恶意代码或脚本植入的行为通常称为“”。 什么是SEO暗链 SEO暗链是SEO黑帽手法中相当普遍的一种手段。笼统地说,它就是指一些人用非正常的手段获取其他网站的权限后,修改其网站的源代码,加入指向自己网站的反向链接代码。其目的是优化自己网站中的一些关键字
解析网页后门与网页原理
ygyangguang的专栏
01-08 2290
网站被,被植入后门,这是管理员们无论如何都无法忍受的。Web服务器被攻克不算,还“城门失火殃及池鱼”,网站的浏览者也不能幸免。这无论是对企业的信誉,还是对管理员的技术能力都是沉重的打击。下面笔者结合实例对网页后门及其网页的技术进行解析,知己知彼,拒绝攻击。   一、前置知识  网页后门其实就是一段网页代码,主要以ASP和PHP代码为主。由于这些代码都运行在服务器端,攻击者通过这段精
Web安全-检测-网页
AG9GgG的博客
10-30 3946
的本质是一个特定的网页,这个网页包含了攻击者精心构造的恶意代码,这些恶意代码通过利用浏览器(包括控件、插件)的漏洞,加载并执行攻击者指定的恶意软件(通常是木)。 网站是黑客植入木的一种主要手段。黑客通过入侵或者其他方式控制了网站的权限,在网站的Web页面中插入网,用户在访问被的网站时也会访问黑客构造的网,网在被用户浏览器访问时就会利用浏览器或者相关插件的漏洞,下载并执行...
网页工作原理完全分析
01-09
网页工作原理完全分析,希望识货的人过来赶快拿啊~~
DNS欺骗的艺术 | 域名劫持和网页
尼泊罗河伯的博客
09-26 1694
DNS 全称 Domain Name System ,中文名称为域名系统。DNS 欺骗是攻击方篡改域名解析结果,将指向到此域名的IP地址修改为攻击方指定的 IP 地址。因为 DNS 协议存在设计缺陷,在 DNS 报文中只使用一个序列号来进行有效性鉴别,并未提供其它的认证和保护手段,这使得攻击者可以轻松监听到查询请求数据,并伪造 DNS 应答包给 DNS 客户端,从而实现 DNS 欺骗攻击。
网页是什么原理
IT技术宅-北方的刀郎
03-21 2385
网页的实质是利用漏洞向用户传播木下载器,当我们更清楚了这点就能做到有效的防范。网页就是网页恶意软件威胁的罪魁祸首,和大家印象中的不同,准确的说,网页并不是木程序,而应该称为网页“种植器”,也即一种通过攻击浏览器或浏览器外程序(目标通常是IE浏览器和ActiveX程序)的漏洞,向目标用户机器植入木、病毒、密码盗取等恶意程序的手段首先明确,网页实际上是一个HTML网页,与其
Fortinet的安全愿景SASO概述
最新发布
lurenjia404的博客
05-06 824
FTNT SASE的独特方法,使其成为一家适应性极强的厂商,能够应对不断变化的网络和网络安全环境。FTNT开发了一种名为Secure Access Service Omni(SASO)的变体,以更准确地反映FTNT在融合网络和安全功能方面的实力。我们预计,从长远来看,SASO将逐渐取代SASE。
API安全
2301_76717406的博客
05-01 1792
网络安全,信息(数据)安全,应用安全;机密性完整性可靠性。
域控安全 ----> Ntds.dit文件抓取
huohaowen的博客
05-05 1200
大家还记得内网渗透的初衷吗???找到域馆,拿下域控!!拿下了域控就是拿下了整个域!!但是大家知道拿下域环境之后应该怎么操作吗(灵魂拷问)???那么下面,开始我们今天的内容 NTDS.DIT文件!!
网络安全实训Day16
Yisitelz的博客
04-26 2356
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
WAAP动态安全解决方案
m0_66268916的博客
05-03 777
在此情况下,德迅云安全WAAP应运而生。7、协同防护:通过全站防护管理平台,对网络L3-L7层各防护模块的安全策略进行统一管理,并通过数据聚合、情报协同,形成真正的纵深防护,简化运营工作的同时进一步提升整体安全的防护水位。5、互联网暴露面资产发现:通过平台和人工服务的方式,对域名、IP及关键字的综合查询及关联分析,提供互联网资产的发现、识 别、监测、稽核等服务,帮助用户发现和梳理互联网资产;二、全站防护,在事中阶段,从网络安全、应用安全、业务安全、API安全各层面,为Web应用提供全面安全防护闭环。
下来选项中,不能够使用持久型XSS攻击实现的是? ( ) 盗取管理员cookie,进入后台 盗取用户cookie,登录用户帐号 进行网页 对数据库进行修改,获取管理员密码
06-12
不能够使用持久型XSS攻击实现的是“对数据库进行修改,获取...攻击者可以利用篡改网页、重定向等方式进行攻击。但是,持久型XSS攻击并不能直接对数据库进行修改,获取管理员密码,这需要利用其他漏洞或攻击方式

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值