第四篇：國際網(wǎng)頁Web設(shè)計流程

國際網(wǎng)頁Web設(shè)計流程

1.初始會商,主要是收集該站點的關(guān)鍵信息,包括站點的目標(biāo)讀者.要發(fā)布的內(nèi)容.開發(fā)Web服務(wù)器平臺;

2.概念開發(fā),設(shè)計師根據(jù)收集的信息,開始構(gòu)思,通常,設(shè)計師要把這些構(gòu)思用草圖的形式呈現(xiàn)給顧客,這個草圖要有整個網(wǎng)站的結(jié)構(gòu),不同的布局.設(shè)計及導(dǎo)航;

3.內(nèi)容綜合,當(dāng)決定了設(shè)計師的設(shè)計,設(shè)計師開始制作一些初始圖樣,這些圖樣用PHOTOSHOP那樣的程序來創(chuàng)建,然后,設(shè)計師將圖樣打印出來配合文字;

4.HTML布局和導(dǎo)航,一旦客戶同意了這些內(nèi)容綜合,設(shè)計師開始編制Web頁面,導(dǎo)航器也被編制到頁面中,使客戶第一次真正體驗一下;

5.圖形制作,如果客戶同意了站點的外觀和感受,設(shè)計師將大量制作所需的圖形,并進行優(yōu)化;

6.內(nèi)容流程,客戶的書面材料利用各種網(wǎng)頁技術(shù)（CSS、JAVA、FLASH）,有機的和相關(guān)的圖形整合在一起;

7.測試,在站點被提交給客戶之前,設(shè)計師要徹底測試每個Web頁面和聯(lián)結(jié),利用清單,進行修補;

8.交付,一旦簽收,客戶要經(jīng)常進行他們的測試,找出排版和內(nèi)容方面的錯誤,做完了這些次要的修正后,正式啟用站點.這套完整的計劃可以用1-12個月來完成,平均完成時間為4個月.當(dāng)站點啟用后,要進行跟蹤調(diào)查,以確定人們?nèi)绾问褂谜军c。經(jīng)過6-12個月的運行之后，重新收集數(shù)據(jù),開始重新設(shè)計,然后這個Web設(shè)計過程再開始一遍。

附：WEB設(shè)計經(jīng)驗-來自microsoft.com設(shè)計主管

作為設(shè)計主管，Peter Stern 已經(jīng)領(lǐng)導(dǎo) microsoft.com 重新設(shè)計了主頁并且開發(fā)了五個不同的交互工具，這些工具被用于下載中心、產(chǎn)品目錄、配置文件中心、搜索 和注冊等聯(lián)機功能。他為幾個內(nèi)部工具設(shè)計了用戶界面，并且正致力于創(chuàng)建將于今年晚些時候發(fā)布的下一代主頁。

從頭銜上，您可能認(rèn)為我主要關(guān)心的是 microsoft.com Web 站點幾千個網(wǎng)頁的版面設(shè)計。的確，這些確實是我所關(guān)注的。視覺上的吸引力是重要的，但是這僅僅是工作的一小部分。而最終的目的是確保整個站點運轉(zhuǎn)正常。

我的意思是，人們通常在訪問 microsoft.com 時，并未將它當(dāng)作藝術(shù)作品來贊賞。而是為了獲得有關(guān)產(chǎn)品的信息，或者有一些技術(shù)問題需要咨詢，或是閱讀有關(guān)開發(fā)商的期刊。所以網(wǎng)站的設(shè)計應(yīng)該盡量清楚和有條理，以便他們能夠容易地找到所需信息。

設(shè)計站點

在進行 Web 設(shè)計時--在設(shè)計過程中--形式應(yīng)該服從功能。這種方法應(yīng)用于我們站點的整個設(shè)計過程中。當(dāng)然，我們有最新的 Web 工具，并且能夠?qū)⒏鞣N可視的小配件上載到網(wǎng)頁上。

但是我們認(rèn)為這樣做將不利于為訪問者提供有效的服務(wù)。

事實上，我經(jīng)常發(fā)現(xiàn)一些站點未將重點放在功能上。常見的錯誤包括：

用戶界面元素不一致。例如，同一個控件在不同的頁面上功能不同，或者同一個功能對應(yīng)幾個用戶界面控件。

導(dǎo)航欄位置不一致。決定站點的哪些頁和功能需要在站點的任何頁上都可被訪問到。這就是應(yīng)該保持一致性的“全局導(dǎo)航欄”。

不太注意或根本不注意基本的圖形設(shè)計原則，例如排版式樣、色彩和版面的設(shè)計。

相關(guān)元素和功能的隨意分組。注意將元素放置在網(wǎng)頁上的位置和目的。這可幫助訪問者從其它相鄰的選擇和位置來推斷某個鏈接的功能。

使網(wǎng)頁過于龐大以至使訪問者需要通過典型的調(diào)制解調(diào)器速度的 Internet 連接進行長時間的下載。這并不是說不應(yīng)該使用圖形，但是您需要對它們進行精挑細選，然后用適當(dāng)?shù)膲嚎s和顏色索引優(yōu)化它們。

現(xiàn)在的 Web 站點仍然存在很多問題，這并不奇怪。畢竟，Web 設(shè)計“藝術(shù)”相對來說還是個新生事物。在四、五年以前，Web 頁甚至是普通的。那時，人們好像認(rèn)為他們的 Web 站點將會吸引訪問者只是因為它們存在--并且，可能在某些情況下這種方法確實有效。但是這些站點一般很難看，并且更重要的是，它們真的難以使用。接下來便進入“看看我們能做些什么”階段，在網(wǎng)頁中加入了大量的動畫、聲音文件以及其它附加件，導(dǎo)致訪問者需要長時間地進行下載，但是并未獲得多少實實在在的內(nèi)容。

如今的 Web 設(shè)計師們已經(jīng)吸取了前人的經(jīng)驗和教訓(xùn)。好的站點傾向于簡化和快速，同時在功能上有所提高。這是 Microsoft 的目標(biāo)，而且我們最先承認(rèn)自己所犯的錯誤（參閱“Microsoft 的 Web 簡史”看一看以前的主頁設(shè)計）。

設(shè)計錯誤并不總是顯而易見的。有時在設(shè)計上對一個小元素的移動或更改將有很少或根本沒有影響。但是，在其它情況下，它可能確實會對頁面功能有所影響。而且如果說我們從過去幾年學(xué)到了一些東西，那就是小的改動會使 Web 頁的運行方式有很大的不同。

明確的流程

若要避免類似問題，我們?yōu)樾路?wù)（例如“搜索”）的創(chuàng)建或關(guān)鍵的 Web 頁（如主頁）設(shè)計了一個明確的流程。每個項目都是在一定的基礎(chǔ)上開始的，即我們有一個受益于我們站點上的頁面、部分或用戶界面元素的產(chǎn)品或服務(wù)。在早期的產(chǎn)品計劃階段（第 1 階段），我被要求設(shè)計一些初級模型：大致描述頁面、部分或功能的草圖。然后產(chǎn)品項目組檢查產(chǎn)品計劃建議，看看此項服務(wù)是否可以為 microsoft.com 的訪問者真正帶來一些實惠。

如果答案是“可以”，那么此項目會獲得批準(zhǔn)，我們開始寫項目說明書（第 2 階段）。我們在第 1 階段的草圖和概念基礎(chǔ)上創(chuàng)建并提出一個更為完整的計劃。這時，我們一般還會開始

可用性測試（一般會有書面的模型）以了解潛在用戶將對計劃中的設(shè)計做出何種反應(yīng)。在最后開發(fā)階段（第 3 階段），我們創(chuàng)建運行計劃服務(wù)的 Web 原型，并且進行全面的可用性測試以及內(nèi)部復(fù)查。然后完成站點的代碼，修改程序錯誤，最后站點通過實際運轉(zhuǎn)的 Web 站點向客戶發(fā)布。

正如您所見到的，可用性在整個流程中扮演著重要的角色（參閱“創(chuàng)建有效的 Web 界面需要認(rèn)真計劃”）。我們可以為用戶運行某項任務(wù)計時，這樣我們就可以在產(chǎn)品以后的版本中對比相同的測試。我們可以使用這種方法進行度量，以確定一個功能的重新設(shè)計是否為客戶帶來任何真正的價值。

還有，我們將仔細地觀察以了解可用性對象是否可以計算出如何正確使用新功能--我們稱為“可發(fā)現(xiàn)性”的方法。有時這為我們提供了一些挑戰(zhàn)。例如：在我們的站點上，在 搜索引擎 中鍵入一個詞組或字會產(chǎn)生一列結(jié)果。然后我們請用戶選擇在這些結(jié)果中進行搜索，以便進行更細的搜索并且導(dǎo)向某一頁或資源。但是即使“在結(jié)果范圍內(nèi)搜索”被明顯地標(biāo)記在深色標(biāo)簽上，很少有人熟悉它。一些用戶認(rèn)為他們正開始新的搜索，并且可能毫無結(jié)果。我們正在解決這個問題以確?？蛻艨梢岳?microsoft.com 上所有豐富的功能來提高他們對此站點的認(rèn)識。

選項“在結(jié)果范圍內(nèi)搜索”看上去很直觀，但不是非常易發(fā)現(xiàn)的。此問題一直是困擾我們的設(shè)計的問題之一。

最后階段

大體來講，站點設(shè)計是在發(fā)生沖突的需要之間求得平衡的藝術(shù)。一方面，我要將站點設(shè)計得盡量簡單易用。另一方面，我要確保站點中所有強大的工具可為經(jīng)驗豐富的用戶所用。與此同時，我還要為內(nèi)部客戶服務(wù)--Microsoft 產(chǎn)品項目組--他們對服務(wù)有特殊的需要。所以每天我都要解決一些非常困難的問題，經(jīng)常處于很緊迫的情形中。我發(fā)現(xiàn)這種工作是鼓舞人心和有趣的。

這個職業(yè)非常需要更熟練的專業(yè)人員。我是經(jīng)過一系列非常不一般的過程--在大學(xué)學(xué)習(xí)圖形藝術(shù)，然后在多媒體公司設(shè)計 CD-ROM，最后加入 Microsoft 并開發(fā)應(yīng)用程序--才獲得這個職位的。非常奇怪的是，當(dāng)我申請（并獲得）這份工作時，我以前從來沒有設(shè)計過 Web 頁。但是我廣泛的設(shè)計經(jīng)歷已經(jīng)證明是非常有用的，并且我自認(rèn)為已經(jīng)驗證了格言“成功的設(shè)計就是成功的設(shè)計”（不論是什么媒體）。許多設(shè)計問題對 Web 來說是獨一無二的，解決這些問題的方法對于任何媒體都是一樣的。

對于那些準(zhǔn) Web 設(shè)計師我的建議是，他們也應(yīng)該盡可能地擴大設(shè)計背景。今天應(yīng)該確保將一些 Web 工作作為互動設(shè)計培訓(xùn)的一部分--大多數(shù)好的設(shè)計學(xué)校已將其加入課程中。但是在排版、色彩理論、版面設(shè)計以及生產(chǎn)等方面的扎實的技術(shù)將仍然特別有價值。

在未來，Web 設(shè)計師們?nèi)詫^續(xù)被要求給頁面增加更豐富的多媒體內(nèi)容，從而為 Web 站點的可視性和可操作性增加了新一級的復(fù)雜性和技術(shù)要求。作為 CD-ROM/多媒體設(shè)計師，要求我必須具有圖形設(shè)計、視頻、音頻制作、動畫等方面的知識和創(chuàng)作能力。我的預(yù)言是，Web 設(shè)計師也將向這些領(lǐng)域發(fā)展。

對于屬于 microsoft.com 的我們--以及在 Internet 上的其它地方--那應(yīng)該是一個非常有趣的未來。

了解您的觀眾。調(diào)查一下究竟哪些人在訪問您的站點，以及他們?yōu)槭裁匆L問。新手或不定期上網(wǎng)的 Web 用戶與軟件開發(fā)商相比有非常不同的興趣和站點需要。

使您的站點對訪問者來說有所幫助。

為您的觀眾提供所需的信息。使導(dǎo)航元素保持一致，并且確保對訪問率最高的區(qū)域進行明顯的標(biāo)記，是它們易于被找到。

使用清楚的消息。

確保用戶了解此頁面的上下文，并且知道需要他們做些什么。如果在注冊過程中您要用戶輸入姓名，那么就直截了當(dāng)?shù)卣f。不要讓訪問者自己計算什么，他們會感到沮喪，于是轉(zhuǎn)到其它更簡單的站點（例如您的競爭對手的站點?。?/p>

保持一致性。

雖然更改不同 Web 頁的外觀并不難，但這并不意味著您應(yīng)該這么做。將主要功能--例如返回“主頁”的鏈接或者執(zhí)行一個搜索--放在每頁的相同位置。在 microsoft.com 上，黑色全局導(dǎo)航工具欄的位置在四十多萬頁上都是一樣的。

使站點可用。

牢記設(shè)計和測試站點的可用性。確保用戶可容易地執(zhí)行任務(wù)以獲得所需信息。估算任務(wù)時間和任務(wù)完成率，然后努力進行改善。如果新的設(shè)計沒有在這些方面獲得改善，那么就不要實施它。重新從草圖（或最初的計劃）開始并嘗試其它方法。

保持簡潔。

說起來容易做起來難。嘗試征求反饋意見。有時新人可以很容易找到解決方案。

嘗試新的東西。

不要害怕打破常規(guī)，嘗試一些完全不同的東西。如果您不試試，永遠不會找到真正的答案。

第五篇：Web安全之網(wǎng)頁木馬的檢測與防御

Web安全之網(wǎng)頁木馬的檢測與防御

隨著Web2.0、社交網(wǎng)絡(luò)、微博等等一系列新型的互聯(lián)網(wǎng)產(chǎn)品的誕生，基于Web環(huán)境的互聯(lián)網(wǎng)應(yīng)用越來越廣泛，企業(yè)信息化的過程中各種應(yīng)用都架設(shè)在Web平臺上，Web業(yè)務(wù)的迅速發(fā)展也引起黑客們的強烈關(guān)注，接踵而至的就是Web安全威脅的凸顯，黑客利用網(wǎng)站操作系統(tǒng)的漏洞和Web服務(wù)程序的SQL注入漏洞等得到Web服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)，更為嚴(yán)重的則是在網(wǎng)頁中植入惡意代碼，使得網(wǎng)站訪問者受到侵害。在Web安全的攻擊種類中，網(wǎng)頁木馬一直是一個不容忽視的問題。黑客把一個木馬程序上傳到一個網(wǎng)站里面然后用木馬生成器生一個網(wǎng)馬，再上到空間里面，再加代碼使得木馬在打開網(wǎng)頁里運行，從而獲取用戶的隱私信息。隨著網(wǎng)頁木馬破壞性的增大，人們對網(wǎng)頁木馬的重視程度也在逐漸增加。網(wǎng)頁木馬簡介

1.1網(wǎng)頁木馬的定義

網(wǎng)頁木馬是在宏病毒、木馬等惡意代碼基礎(chǔ)上發(fā)展出來的一種新形態(tài)的惡意代碼.類似于宏病毒通過Word 等文檔中的惡意宏命令實現(xiàn)攻擊.網(wǎng)頁木馬一般通過HTML 頁面中的一段惡意腳本達到在客戶端下載、執(zhí)行惡意可執(zhí)行文件的目的,而整個攻擊流程是一個“特洛伊木馬式”的隱蔽的、用戶無察覺的過程,因此,國內(nèi)研究者通常稱該種攻擊方式為“網(wǎng)頁木馬”.目前,學(xué)術(shù)界對網(wǎng)頁木馬尚無一個明確的、統(tǒng)一的定義.Wiki 將它定義為一種用戶不知情的下載,發(fā)生的場景可以是用戶閱覽郵件、訪問網(wǎng)站頁面以及點擊一個欺詐性的彈出框時,等等,該定義屬于字面解釋,包括的內(nèi)容比較寬泛,如利用社會工程學(xué)手段欺騙用戶下載也屬于其涵蓋范圍.此外,Wiki 還用Drive-by-Install 這一術(shù)語來表示下載并安裝惡意程序的過程;Google 的Provos 等人將網(wǎng)頁木馬限定為客戶端在訪問頁面時受到攻擊并導(dǎo)致惡意可執(zhí)行文件的自動下載、執(zhí)行,該定義指出了“訪問頁面時受到攻擊”和“自動下載、自動執(zhí)行惡意可執(zhí)行文件”兩個關(guān)鍵點;UCSB 的Cova 等人進一步指出,網(wǎng)頁木馬是以一段JavaScript 代碼作為攻擊向量的一種客戶端攻擊方式,而實際上,還存在一些通過CSS 元素、VBScript 腳本發(fā)起攻擊的網(wǎng)頁木馬。

綜上所述,網(wǎng)頁木馬定義為:一種以JavaScript,VBScript,CSS 等頁面元素作為攻擊向量,利用瀏覽器及插件中的漏洞,在客戶端隱蔽地下載并執(zhí)行惡意程序的基于Web 的客戶端攻擊。

1.2網(wǎng)頁木馬的攻擊流程

網(wǎng)頁木馬采用一種被動攻擊模式(即pull-based 模式):攻擊者針對瀏覽器及插件的某個特定漏洞構(gòu)造、部署好攻擊頁面之后,并不像發(fā)送垃圾郵件那樣主動將內(nèi)容推送給受害用戶(即push-based 模式),而是被動地等待客戶端發(fā)起的頁面訪問請求.其典型攻擊流程如圖1 所示:1.客戶端訪問攻擊頁面;2.服務(wù)器做出響應(yīng),將頁面內(nèi)容返回給客戶端;3.頁面被瀏覽器加載、渲染,頁面中包含的攻擊向量在瀏覽器中被執(zhí)行并嘗試進行漏洞利用;4,5.存在該漏洞的客戶端被攻破,進而下載、安裝、執(zhí)行惡意程序。

從網(wǎng)頁木馬的攻擊流程可以看出,網(wǎng)頁木馬是一種更加隱蔽、更加有效的向客戶端傳播惡意程序的手段:相比較蠕蟲以主動掃描等方式來定位受害機并向其傳播惡意程序,網(wǎng)頁木馬采用一種“守株待兔”的方式等待客戶端主動對頁面發(fā)出訪問請求,這種被動式的攻擊模式能夠有效地對抗入侵檢測、防火墻等系統(tǒng)的安全檢查.1.3可能被網(wǎng)頁木馬利用的漏洞

1．利用URL格式漏洞

此類網(wǎng)頁木馬是利用URL格式漏洞來欺騙用戶。構(gòu)造一個看似JPG格式的文件誘惑用戶下載，但事實上用戶下載的卻是一個EXE文件。此類攻擊，具有相當(dāng)?shù)碾[蔽性，利用URL欺騙的方法有很多種，比如起個具有誘惑性的網(wǎng)站名稱或使用易混的字母數(shù)字掉包進行銀行網(wǎng)絡(luò)釣魚，還有漏洞百出的“%30%50”之類的Unicode編碼等等。2.通過ActiveX控件制作網(wǎng)頁木馬。

通過 ActiveX 把普通的軟件轉(zhuǎn)化為可以在主頁直接執(zhí)行的軟件的網(wǎng)頁木馬，此類網(wǎng)頁木馬對所有的系統(tǒng)和IE版本都有效，缺點是瀏覽網(wǎng)頁木馬時會彈出對話框，詢問是否安裝此插件。病毒作者通常是偽造微軟、新浪、Google等知名公司的簽名，偽裝成它們的插件來迷惑用戶。

3.利用WSH的缺陷

利用WSH修改注冊表，使IE安全設(shè)置中“沒有標(biāo)記為安全的的activex控件和插件”的默認(rèn)設(shè)置改為啟用，然后再利用一些可以在本地運行EXE程序的網(wǎng)頁代碼來運行病毒。它的危害在于，可以利用IE的安全漏洞提升權(quán)限達到本地運行任意程序的后果。4.利用MIME漏洞制做的網(wǎng)頁木馬。

它利用了Microsoft Internet Explorer中MIME/BASE64處理的漏洞，MIME(Multipurpose Internet Mail Extentions)，一般譯作“多用途的網(wǎng)絡(luò)郵件擴充協(xié)議”。顧名思義，它可以傳送多媒體文件，在一封電子郵件中附加各種格式文件一起送出?，F(xiàn)在它已經(jīng)演化成一種指定文件類型(Internet的任何形式的消息：E-mail，Usenet新聞和Web)的通用方法。在使用CGI程序時你可能接觸過 MIME類型，其中有一行叫作Content-type的語句，它用來指明傳遞的就是MIME類型的文件(如text/html或 text/plain)。MIME在處理不正常的MIME類型時存在一個問題，攻擊者可以創(chuàng)建一個Html格式的E-mail，該E-mail的附件為可執(zhí)

行文件，通過修改MIME頭，使IE不能正確處理這個MIME所指定的可執(zhí)行文件附件。5．利用系統(tǒng)的圖片處理漏洞

這是種只要瀏覽圖片就可以傳播的網(wǎng)頁木馬。這種木馬是把一個EXE文件偽裝成一個BMP或JPG圖片文件,在網(wǎng)頁中添加如 的代碼來欺騙IE自動下載,然后利用網(wǎng)頁中的Java Script腳本查找客戶端的Internet臨時文件夾,尋找下載的BMP格式文件,把它拷貝到TEMP目錄.再利用腳本把找到的BMP文件用 DEBUG還原成EXE,并添加到注冊表啟動項中,達到隨系統(tǒng)的目的。6．HTML文件木馬

首先利用工具把EXE格式的文件轉(zhuǎn)化成HTML文件的木馬，這樣.EXE文件看起來就變成了Htm文件，欺騙訪問者訪問假冒的Htm文件從而達到運行病毒的目的。它和BMP網(wǎng)頁木馬運用了同一個原理，也會利用JAVASCRIPT腳本和debug程序來轉(zhuǎn)換回EXE文件 7.IFRAME溢出

IE IFRAME漏洞利用了MS05020中提到的IE溢出漏洞，IE在處理iframe標(biāo)簽的時候，會調(diào)用一個叫作SHDOCVW！CBaseBrowser2：：SetFramName函數(shù)來進行unicode copy（wcscpy），在拷貝iframe的name時，沒有進行邊界檢查，構(gòu)造惡意的代碼就會導(dǎo)致IE的溢出。

8.Microsoft Internet Explorer Javaprxy.DLL COM對象堆溢出漏洞

Microsoft Internet Explorer存在一個堆溢出漏洞。當(dāng)一個惡意的網(wǎng)頁實例化'javaprxy.dll' COM對象時，可能導(dǎo)致堆溢出，成功利用該漏洞能夠在客戶端上下載執(zhí)行任意代碼。網(wǎng)頁木馬的主要檢測技術(shù)

在互聯(lián)網(wǎng)中大規(guī)模進行頁面檢查,檢測出被掛馬頁面,是網(wǎng)頁木馬防御的重要環(huán)節(jié):一方面,可以通知被掛馬網(wǎng)站的管理員及時清除頁面中嵌入的惡意內(nèi)容,從而改善互聯(lián)網(wǎng)瀏覽環(huán)境;另一方面,有助于讓防御方掌握網(wǎng)頁掛馬的范圍、趨勢以及捕獲最新的網(wǎng)頁木馬樣本.2.1監(jiān)測基本思想

大規(guī)模網(wǎng)頁掛馬檢測的基本思路為:使用爬蟲爬取互聯(lián)網(wǎng)頁面,將爬取到的URL 輸入到檢測環(huán)境——客戶端蜜罐中進行網(wǎng)頁木馬檢測.客戶端蜜罐(client honeypot)這一概念首先由國際蜜網(wǎng)項目組(The HoneynetProject)的Spitzner 針對網(wǎng)頁木馬這種被動式的客戶端攻擊而提出.在網(wǎng)頁掛馬檢測時,客戶端蜜罐根據(jù)URL 主動地向網(wǎng)站服務(wù)器發(fā)送頁面訪問請求,并通過一定的檢測方法分析服務(wù)器返回的頁面是否帶有惡意內(nèi)容.在互聯(lián)網(wǎng)中大規(guī)模進行網(wǎng)頁掛馬檢測有兩個關(guān)鍵點: 1)提高爬蟲爬取的覆蓋率,這方面可以通過采用大規(guī)模的計算平臺、設(shè)計均衡的并行爬取分配策略等來實現(xiàn)

2)在客戶端蜜罐中實現(xiàn)高效、準(zhǔn)確的網(wǎng)頁木馬檢測方法。

2.2主要監(jiān)測方法

? 基于反病毒引擎掃描的檢測

基于反病毒引擎掃描是研究人員進行網(wǎng)頁掛馬檢測時較早使用的方法,該方法主要基于規(guī)則或特征碼匹配來檢測頁面中是否含有惡意內(nèi)容.該方法的優(yōu)點在于可以快速地對頁面進行檢測,但其缺點在于存在較高的漏報率:一方面,僅僅依賴一種純靜態(tài)的特征匹配無法對抗網(wǎng)頁木馬為了提高隱蔽性而普遍采用的混淆免殺機制,根據(jù)互聯(lián)網(wǎng)安全技術(shù)北京市重點實驗室在2008 年底作的統(tǒng)計發(fā)現(xiàn),9 款國內(nèi)外主流反病毒軟件對在中國互聯(lián)網(wǎng)上發(fā)現(xiàn)的網(wǎng)頁木馬樣本最高僅達到36.7%的檢測率;另一方面,研究人員通常僅對單頁面進行掃描,而不進一步檢測頁面動態(tài)視圖中的內(nèi)嵌腳本/內(nèi)嵌頁面,從而無法有效檢測出被掛馬頁面.? 基于行為特征的檢測

基于行為特征的網(wǎng)頁木馬檢測方法通常被用于高交互式客戶端蜜罐中:即在檢測環(huán)境中安裝真實瀏覽器和一些帶有漏洞的插件,驅(qū)動瀏覽器訪問待檢測頁面,通過監(jiān)測頁面訪問時注冊表變化、文件系統(tǒng)變化、新建進程等行為特征來判定頁面是否被掛馬.為了便于感染后快速恢復(fù)以及防止惡意程序在本地網(wǎng)絡(luò)中的傳播,高交互式客戶端蜜罐一般部署在虛擬機中并作一定的網(wǎng)絡(luò)隔離.? 基于統(tǒng)計或機器學(xué)習(xí)的檢測

由于網(wǎng)頁木馬經(jīng)常對惡意腳本進行混淆來躲避基于特征碼的檢測,一種檢測思路是按照頁面的混淆程度來進行惡意性判斷.文獻提出了基于判斷矩陣法的惡意腳本檢測方法,但該方法僅對經(jīng)過encode escape 函數(shù)混淆的惡意腳本有效.隨著越來越多的大型網(wǎng)站為保障代碼知識產(chǎn)權(quán)都對自己的腳本進行了一定的混淆或加密,因此,這類按照混淆程度進行惡意性判定的方法會帶來較多的誤報.? 基于漏洞模擬的檢測

該類方法的典型代表是PHoneyC.PHoneyC 在低交互式客戶端蜜罐環(huán)境中解析頁面并用一個獨立的腳本引擎執(zhí)行提取出的腳本,通過在腳本引擎上下文中模擬出一些已知的漏洞插件,并結(jié)合運行時參數(shù)檢查來檢測惡意腳本.作為低交互式客戶端蜜罐,PhoneyC 比高交互式客戶端蜜罐更迅速、更容易加載(模擬)更多的漏洞模塊甚至同一漏洞模塊的不同版本.但是PhoneyC 也具有其自身局限性:由于采用一個獨立的腳本引擎,腳本執(zhí)行過程中常常由于缺少頁面上下文環(huán)境或瀏覽器提供給腳本的一些API 而導(dǎo)致腳本執(zhí)行失敗、檢測被迫停止.此外,PhoneyC 只能模擬已知的漏洞插件,無法檢測利用零日漏洞的惡意腳本.在網(wǎng)頁掛馬檢測中,低交互式客戶端蜜罐中的基于反病毒引擎掃描、基于統(tǒng)計或機器學(xué)習(xí)、基于漏洞模擬等方法和高交互式客戶端蜜罐中的基于行為特征的檢測方法各有優(yōu)缺點:低交互式客戶端蜜罐的實現(xiàn)和配置靈活、便于擴展;高交互式客戶端蜜罐主要根據(jù)行為特征進行檢測,誤報率相對較低,但時間代價和系統(tǒng)代價比較大.3 網(wǎng)頁木馬防御技術(shù)研究

網(wǎng)頁木馬都是利用漏洞來執(zhí)行本不應(yīng)該執(zhí)行的代碼，而這些代碼都需要下載一個原生型木馬到受害機執(zhí)行，這個木馬程序就是服務(wù)端。如果能攔截掉惡意代碼的執(zhí)行、木馬的下載及木馬的運行中的任意一步，就可有效地防御網(wǎng)頁木馬。攔截惡意代碼的執(zhí)行可以通過為系統(tǒng)及應(yīng)用軟件打補丁，封堵系統(tǒng)漏洞或通過殺毒軟件來實現(xiàn)，但它們都存在一定的不可靠性。

下面是綜合各種網(wǎng)頁木馬的攻擊手段與攻擊方式而提出的一些應(yīng)對方法，能夠從各個角度堵住網(wǎng)頁木馬的下載與運行。

3.1系統(tǒng)安全配置

及時給系統(tǒng)及應(yīng)用軟件打上補丁，讓網(wǎng)頁木馬無漏洞可利用，可將中網(wǎng)頁木馬的幾率降到最低。經(jīng)常關(guān)注最新漏洞的一些信息，有助于及時防止漏洞被網(wǎng)頁木馬制作者利用;打開操作系統(tǒng)的自動更新功能，如果微軟公司提供新的漏洞補丁可以及時自動下載并安裝。

3.2瀏覽器安全配置

IE是占據(jù)市場份額最多的瀏覽器，它支持多種類型的網(wǎng)頁文件，例如HTML,DHTML, ActiveX, Java, JavaScript, VBScript, CSS等格式的文件。而正是由于對這些格式文件的支持，使得IE經(jīng)常由于各種漏洞的產(chǎn)生飽受攻擊，如果我們確定不需要運行一些格式文件，我們可以在IE瀏覽器中“Internet選項一>安全一>自定義級別”頁面里面設(shè)置相應(yīng)的配置，對一些不必要的加載和設(shè)置進行取消，即提高瀏覽器安全級別。

上網(wǎng)瀏覽時我們經(jīng)常會遇到提示是否安裝第三方軟件，這些第三方軟件可以完成某些特殊的功能，如Google工具條、3721網(wǎng)絡(luò)助手等，這些軟件也可能隱含漏洞，可以在IE的工具一>Internet選項一>高級中取消/啟用第三方瀏覽器擴展。

3.3使用第三方瀏覽器

由于目前互聯(lián)網(wǎng)上常見的網(wǎng)頁木馬所使用的是針對IC瀏覽器及其ActiveX控件的漏洞，因此，使用Firefox/Opera等非工E內(nèi)核的第三方瀏覽器可以從源頭上堵住網(wǎng)頁木馬的攻擊;不過第三方瀏覽器在頁面兼容性上稍遜IE瀏覽器，而且一些特別的網(wǎng)頁，如各種使用ActiveX密碼登陸控件的網(wǎng)上銀行不能使用第三方瀏覽器登陸，因此也需要綜合考慮取舍。

3.4安裝安全工具

安全工具軟件包括防火墻、殺毒軟件、HIPS(Host Intrusion Prevent System)以及其他一些專門用途的安全軟件。這些工具從網(wǎng)絡(luò)到主機，從RingO到Ring3,從防病毒到防流氓軟件等不同的角度來保護計算機的安全。防火墻可以防止他人在未授權(quán)的情況下連結(jié)到本機上，殺毒軟件掃描指定的文件和內(nèi)存，通過與病毒庫的比較查殺病毒，H工PS能監(jiān)控計算機中程序的運行和對文件的訪問以及對注冊表的修改，并向你提出是否許可警示，如果你阻止了，它將無法進行運行或更改。

3.5禁用遠程注冊表服務(wù)

遠程注冊表服務(wù)Remote Registry Service可以使得遠程用戶修改或查看本地計算機的注冊表信息。木馬在利用各種手段誘使受害機下載木馬到本地后還遠遠不夠，還必須想辦法讓木馬運行起來，但一般情況下遠程客戶是沒有權(quán)限運行當(dāng)前機子的文件的，而遠程注冊表服務(wù)則使得遠程用戶利用在注冊表中添加開機啟動信息而達到木馬程序的自動加載，在受害機下次啟動之后，攻擊者便可以實施攻擊。因此我們可以選擇關(guān)閉遠程注冊表服務(wù)，這樣即便攻擊者成功實現(xiàn)了木馬的掛載，但由于無法讓木馬運行起來，無法實施攻擊，這樣用戶的安全就得到了保證。總的來說這個服務(wù)就是用來使遠程機器可以管理本機的注冊表(前提是有本地機器中有該權(quán)限的用戶的用戶名和密碼)，一旦該服務(wù)關(guān)閉，遠程用戶將不能訪問本機的注冊表，其他一些依賴這個服務(wù)的程序(或其他服務(wù))也將受到影響，因此也有一定的負面作用。

3.6過濾指定網(wǎng)頁

IE瀏覽器Internet選項提供了一個可以添加信任與不信任網(wǎng)站的站點，對安全性要求高的網(wǎng)絡(luò)和設(shè)備可以采取白名單管理方式，把認(rèn)為安全的網(wǎng)站添加到白名單列表中管理，其他的則完全不同意訪問，這樣用戶瀏覽的網(wǎng)站只能瀏覽安全的網(wǎng)站，故而不可能中網(wǎng)頁木馬。如果安全性要求相對較低的情況下可以添加黑名單的管理方式，只把用戶認(rèn)為不安全或不能確信是否安全的網(wǎng)站添加到黑名單中，那瀏覽器在瀏覽過程中可以自動屏蔽這些網(wǎng)址，那也就切斷了本機與網(wǎng)頁木馬聯(lián)系，除去了中網(wǎng)頁木馬的可能性。

3.7卸載或升級WSH WSH是造成很多網(wǎng)頁木馬橫行其道的原因，而且危害性非常大，如果卸載了WSH則可以控制很多網(wǎng)頁木馬的操作，但WSH的正面作用也非常大，如負責(zé)對實現(xiàn)網(wǎng)頁動態(tài)交互功能的JavaScript等腳本語言的支持，如果完全卸載會使得一些原本需要的功能無法實現(xiàn)，因此升級到最新版本的WSH是最好的選擇。最新版WSH在安全性上又有了新的改進。

3.8提高防馬意識

用戶對于來歷不明的鏈接不要輕易點擊，對于來歷不明的程序不要輕易安裝運行，對于來歷不明的多媒體文件也不要輕易下載打開。經(jīng)常持有對來歷不明的文件的警惕性是非常必要的，可以避免很多有害代碼的侵入。網(wǎng)頁木馬的發(fā)展趨勢

? 網(wǎng)頁木馬的利用向“大眾化”發(fā)展

網(wǎng)頁木馬的利用,近年來有著從“專業(yè)化”向“大眾化”的發(fā)展趨勢:早期,攻擊頁面的編寫及網(wǎng)頁掛馬需要具備一定攻防技術(shù)基礎(chǔ)的黑客才能完成;而現(xiàn)在,普通網(wǎng)民也可以隨意構(gòu)建并發(fā)布網(wǎng)頁木馬.這種變化趨勢在于兩方面原因:一是大量的網(wǎng)頁木馬自動構(gòu)建工具的存在,如在著名黑客會議Black Hat 和DEF CON 上發(fā)布的drivesploit等,普通網(wǎng)民僅簡單操作這些工具便可定制出針對特定漏洞的網(wǎng)頁木馬.另一方面,普通網(wǎng)民不需要掌握任何復(fù)雜的網(wǎng)頁掛馬手段,僅僅通過社交網(wǎng)站就可以大范圍地推送惡意鏈接;加之Twitter、新浪微博等會對用戶上傳的URL 做短鏈接處理,這種惡意鏈接有很強的隱蔽性.隨著網(wǎng)頁木馬的利用向“大眾化”的發(fā)展,網(wǎng)頁木馬在互聯(lián)網(wǎng)上的分布更加廣泛.一個可能的研究方向是根據(jù)網(wǎng)頁木馬自動生成工具的指紋特征進行網(wǎng)頁木馬檢測與防范.? 攻擊向量載體向PDF,Flash 文檔格式擴展

網(wǎng)頁木馬以 HTML 頁面作為攻擊向量載體,在瀏覽器加載、渲染HTML 頁面時,利用瀏覽器及其插件的漏洞實現(xiàn)惡意程序的下載、執(zhí)行.近年來,攻擊者開始在PDF 和Flash 等文檔中嵌入惡意腳本,利用PDF,Flash 閱讀器的漏洞來下載、執(zhí)行惡意程序.攻擊向量的載體已經(jīng)從HTML 頁面擴展到PDF,Flash 等文檔.通過PDF 文檔進行客戶端攻擊,呈一種上升趨勢[60].以PDF,Flash 為攻擊向量載體進行的客戶端攻擊已經(jīng)開始得到學(xué)術(shù)界的關(guān)注.雖然PDF 和Flash 在文檔格式上與HTML 頁面有所區(qū)別,但攻擊手段本質(zhì)上都是在文檔中嵌入惡意腳本等攻擊向量,利用瀏覽器/閱讀器中的漏洞實現(xiàn)惡意程序的自動下載和執(zhí)行.對于該類攻擊的防御,可以借鑒網(wǎng)頁木馬防御中的一些思路,如Tzermias 等人借鑒PhoneyC 的思路檢測惡意PDF 文檔。

? 目標(biāo)攻擊平臺向手機平臺擴展

近年來,智能手機的市場份額在逐步擴大,技術(shù)也在不斷發(fā)展.智能手機瀏覽環(huán)境的逐步發(fā)展給用戶帶來了越來越好的使用體驗,但同時也將攻擊者的攻擊目標(biāo)吸引到了手機平臺.據(jù)統(tǒng)計,iPhone,Android 等主流手機平臺均存在大量的安全漏洞,而瀏覽環(huán)境的安全漏洞又占據(jù)了其中的大部分.2007 年iPhone 首次發(fā)布后不久,便被攻擊者通過Safari 瀏覽器上的漏洞攻破,而在2010 年3 月Pwn2Own 全球攻擊者大賽上,兩名歐洲黑客僅用20s的時間便通過Safari 瀏覽器成功攻破iPhone.只要用戶用智能手機中特定版本的瀏覽器訪問攻擊者精心構(gòu)造的頁面,就可能觸發(fā)惡意代碼在智能手機平臺上自動執(zhí)行.目前,針對手機平臺的網(wǎng)頁木馬雖然沒有大規(guī)模爆發(fā),但由于手機平臺瀏覽環(huán)境中存在大量漏洞,針對手機平臺的網(wǎng)頁木馬仍然是一種潛在的安全威脅,值得研究人員關(guān)注.5 總結(jié)

網(wǎng)頁木馬作為惡意程序傳播的一種重要方式,能夠在客戶端訪問頁面的過程中高效、隱蔽地將惡意程序植入客戶端,基于Web 的被動式攻擊模式使網(wǎng)頁木馬能十分隱蔽并有效地感染大量客戶端,通過內(nèi)嵌鏈接構(gòu)成的樹狀多頁面結(jié)構(gòu)以及靈活多變的隱蔽手段,使網(wǎng)頁木馬在結(jié)構(gòu)和組成等方面與一些傳統(tǒng)的惡意代碼形態(tài)有所區(qū)別.安全研究人員基于對網(wǎng)頁木馬機理、特點等的把握,在掛馬檢測、特征分析、防范等方面提出了應(yīng)對方法.圍繞網(wǎng)頁木馬的攻防博弈仍在繼續(xù),網(wǎng)頁木馬在載體和攻擊平臺上的擴展也給研究人員帶來了新的挑戰(zhàn)與機遇.對于安全研究人員來說,與網(wǎng)頁木馬的對抗是一項任重而道遠的工作.參考文獻

[1] 張慧琳,諸葛建偉,宋程昱,鄒維.基于網(wǎng)頁動態(tài)視圖的網(wǎng)頁木馬檢測方法.清華大學(xué)學(xué)報(自然科學(xué)版),2009,49(S2):2126?2132.[2] 張慧琳,鄒維,韓心慧.網(wǎng)頁木馬機理與防御技術(shù).軟件學(xué)報,2013,24(4):843?858.http://