1 惡意網址
惡意網址分為兩類:
- 掛馬網站 - 黑客會在網頁中插入一段惡意指令碼(JavaScript 或 Flash),然後利用瀏覽器漏洞來執行惡意程式碼(shellcode)。 shellcode 是一段用於利用軟體漏洞而執行的程式碼, shellcode 為 16 進位制的機器碼,因為經常讓攻擊者獲得 shell 而得名 。shellcode 常常使用機器語言編寫 。 可在暫存器 eip 溢位後,塞入一段可讓 CPU 執行的 shellcode 機器碼,讓電腦可以執行攻擊者的任意指令 。
- 釣魚網站和詐騙網站,也屬於一種惡意網址。它是通過模仿知名網站頁面來欺騙使用者。
因此,為了保護使用者安全,瀏覽器廠商就推出了各自的攔截惡意網址功能。攔截惡意網址功能大都是基於黑名單機制來實現的。
2 攔截機制
惡意網址攔截機制是這樣的:瀏覽器會週期性的從伺服器獲取一份最新的網址黑名單,如果訪問的網址存在這個黑名單中,那麼瀏覽器就會彈出一個警告頁面,形如:
之所以不用基於頁面特徵的模型來辨別惡意網址,有以下這些原因:
- 這種模型如果放在客戶端,那麼就會讓攻擊者分析研究這個模型,並繞過定義的安全規則。
- 瀏覽器的使用者基數巨大,需要分析的資料量過於龐大。
- 收集使用者訪問過的歷史記錄,是一種侵犯隱私的行為。
3 黑名單
瀏覽器廠商一般會與專業的安全廠商合作,由安全廠商或者組織來提供惡意網址黑名單。
PhishTank 是一個免費提供惡意網址黑名單的網站,黑名單是由志願者提供的,更新頻繁。